0

如果我在我的根目录中放置一个文件夹并给它起一个不容易猜到的名称,它是否有效地隐藏了?

www.my_domain.com/some_path

some_path equals something like "1Ki9u"

我想用它作为一种快速登录方式。文件夹里面1Ki9u会有一些 php 让我登录到我的 web 应用程序。

4

4 回答 4

2

不是安全。password这与将密码从更改为 没有什么不同password1。只需要蛮力找到您的 URL(出于这个确切原因,有几个程序可以蛮力扫描服务器以查找 404 错误)。

通过真正安全的登录使用真正的安全性。

如果您非常懒惰,请使用像长.htpasswd用户名和密码这样简单的东西。

于 2013-09-04T19:47:40.833 回答
1

您正在尝试做的是通过默默无闻的安全性

通过适当的服务器配置,可以非常有效地隐藏它。但是,我认为这不是一个好主意:

  • IP 地址阻塞 => 在大多数情况下是可靠的,尽管它很容易被欺骗。
  • 浏览器历史。与您坐在同一台 PC 上的任何人都可以找到您的隐藏 URL。或者,如果您需要从朋友/同事的 PC 访问隐藏数据?
  • 如果时间足够长,它就不能真正被暴力破解,特别是因为很少有人会在随机站点上搜索奇怪的 URL。
  • 键盘记录器/木马/病毒并不少见。当然,这对于常规登录也是一种安全风险,但登录脚本可能更安全一些。
  • 用户友好性。我实际上并没有看到记住 10 多个字符的文件夹名称或密码的难易程度(我假设您将使用电子邮件地址登录,您不会真的忘记)。此外,如果您忘记了文件夹名称,则没有简单的方法可以恢复它(好吧,FTP 登录,但这会破坏目的)。使用登录表单,您可以使用重置密码。

总的来说,如果你足够小心,你的隐藏 URL 不太可能被发现,但在我看来,这样做并没有真正的优势。另外,您不会像使用常规登录脚本那样安全。

如果你真的想这样做,只有在你没有非常敏感的信息时才这样做。我的意思是,如果有人掌握了您一直在从事的个人项目,这可能不是一场悲剧,但是掌握您拥有的所有 FTP / cPanel 密码的文本文件可能会受到严重伤害。

于 2013-09-04T21:04:12.463 回答
-1

这被称为“通过默默无闻的安全”。最简洁的答案是不。这甚至不是远程安全的。

于 2013-09-04T19:50:23.223 回答
-1

当您从不链接到它并将您的书签和历史记录保密时,将没有人知道它的存在。目录的名称越长,有人猜测(或暴力破解)URL 的机会就越小。

尽管仅使用 URL 登录根本不安全。即使使用登录表单,您也不是完全安全的,因为它没有防止暴力破解(尽管,超过 12 个字符的非字典密码是非常安全的)。

如果您想真正安全,请使用双因素授权,当输入的密码正确时,您将登录代码通过电子邮件发送到指定的电子邮件地址。然后使用该代码登录。(例子)

于 2013-09-04T19:53:05.873 回答