0

我正在做一个项目,客户提出了一些有趣的要求。想知道是否有人有任何建议或想权衡。

我正在为我的客户创建一个 Web 应用程序,以便在公司内部分发给少数人。他们需要能够从世界任何地方访问 Web 应用程序。

客户要求他们的用户不必登录即可使用该应用程序,但他们不希望世界上的每个人都可以访问它。这让我想到了 Google Apps 共享功能,您可以在其中创建链接,并且拥有该链接的任何人都可以访问该文件。基本上是默默无闻的安全。所以我想我可以创建一个基本上是 50 或 60 个随机字母数字字符长的 URL,然后客户可以与他们的团队共享。

我想知道这是否是最好的主意,或者是否有更好的方法来解决它。

此外,为了确保页面不会被抓取,我计划使用一个 robots.txt 文件来阻止所有内容。

最后,我们希望使用 Google Analytics 收集分析数据,以便他们更好地了解员工如何使用该应用程序。据我了解,谷歌分析和谷歌搜索之间没有直接联系,只要我使用 robots.txt 阻止谷歌搜索机器人,谷歌分析中捕获的任何内容都不会被自动编入索引。我想确保是这种情况。发送到 Google Analytics 的任何内容都不会自动显示在公共论坛中。

整个事情的关键是能够创建一个向客户保证的工作流程,只要链接不公开,他们的内容就会受到“保护”。或者至少,与不受保护的内容一样受到保护。

有什么想法吗?

谢谢,豪伊

4

2 回答 2

2

补充建议:

  • 神奇的链接授权机器(通过cookie,任何你可以用来保存持久标识的东西),然后变得无效。这将极大地提高您的安全性,但代价是客户必须在每台设备上使用一次性(如果您编写正确的话)箍。
  • 我不相信谷歌会因为你使用分析而出去抓取东西。
  • 存在忽略 的搜索引擎robots.txt,但他们可能不会尝试暴力破解类似的东西。

您真的可以在任何时候都没有登录吗?拥有一个更安全的“永远记住我”的系统,您只需在出现问题时登录,这比其他选择要好得多。

于 2013-11-06T21:08:01.723 回答
1

我会非常仔细地阅读 GA 和 Google 的一般 ToS 和政策的 ToS。也许他们的蜘蛛会忽略它,也许他们不会。您可以打赌,即使他们不直接将其放入谷歌 SERP,他们仍会在某处记录您的 URL 。谁说明天他们的政策不会改变?

如果有人将链接通过电子邮件发送给其他人怎么办?几乎可以肯定,这将是 gmail 中的公平游戏。Gmail 在他们的服务条款中肯定有他们可以扫描您的电子邮件并将其用于有针对性的广告。这意味着谁知道该链接将传递给谁。或任何其他电子邮件或即时消息或通信服务。

此外,底线是爬虫不必尊重 robots.txt,而且有很多机器人不需要。所需要的只是找到它并将其放在网站页面、可公开访问的文件等的某个位置。它与 robots.txt 无关,迟早它可能会在谷歌(或 bing 等)上找到自己。 .) serp 无需直接从您的网站上抓取它。

如果是我,我绝对会 150% 告诉他们底线是,如果没有某种身份验证障碍,您甚至无法开始保证 API 的隐私。

编辑: 制作自己的客户端的前景如何,比如在他们的手机/计算机上安装一个 java 应用程序?它仍然可以将 Internet 和您的服务器端脚本用于后端,但可以通过独立应用程序访问该界面。这样一来,必须有人实际拥有应用程序才能使用它,并且用于与您的服务器通信的公共 URL(实际上我会使用套接字)将更具防御性。

于 2013-11-06T22:41:27.703 回答