1. дома
  2. Вопрос и ответ
  3. Я хочу использовать защиту через неизвестность для интерфейса администратора простого веб-сайта. Это может быть проблема?

Я хочу использовать защиту через неизвестность для интерфейса администратора простого веб-сайта. Это может быть проблема?

2009-09-28 6 views
1

Для простоты я хочу использовать ссылки администратора, как это на сайте:Я хочу использовать защиту через неизвестность для интерфейса администратора простого веб-сайта. Это может быть проблема?

http://sitename.com/somegibberish.php?othergibberish= ...

Так фактический URL и параметр будет какая-то совершенно случайная строка, только я бы знал.

Я знаю, что безопасность через неясность, как правило, плохая идея, но разве это реальная угроза, которую кто-то может узнать по URL? Не принимайте во внимание сотрудников хостинговой компании и подслушивателей на линии, потому что это игрушечный сайт, а не что-то важное, и хостинговая компания не дает мне безопасного FTP в любом случае, поэтому меня беспокоят только обычные посетители ,

Есть ли способ найти этот URL-адрес? Это не будет нигде в Интернете, так что Google не будет теперь и так. Надеюсь, по крайней мере. :)

Любое другое отверстие в моей схеме, которое я не вижу?

источник

2009-09-28 Anonymous

ответ

14

Ну, если бы вы могли гарантировать, что только когда-либо узнаете об этом, это сработает. К сожалению, даже не обращая внимания злонамеренных людей, в середине, есть много способов это может просочиться ...

  1. Он будет появляться в журналах доступа провайдера, который может в конечном итоге на Google (и, конечно, читать администраторы хостинга)
  2. Это история просмотров. Плагины, расширения и т. Д. Имеют доступ к этому и часто используют его в другом месте (т. Е. StumbleUpon).
  3. Любые прокси-серверы вдоль линии видеть это ясно
  4. Это может оказаться как Referer на другой сайт

источник

2009-09-28 12:00:25

+2

+1 Четвертый элемент, вероятно, тот, который, скорее всего, вызовет проблемы. – Joey

+0

@Johannes Rössel: все же это тот, на который разработчик может влиять больше всего, не создавая никаких внешних ссылок на этой странице. –

+0

RE # 1: Если ваш интернет-провайдер пытается взломать вашу систему, у них наверняка есть много способов, которыми они могут легко это сделать. Это как: Если ваш телохранитель является частью заговора, чтобы убить вас, у вас глубокие неприятности. – Jay

1

Он может появляться в сети через «утечку рефератора». Скажите, что ваша страница ссылается на мою страницу на http://entrian.com/, и я публикую журналы рефереров веб-сервера в Интернете. Там будет запись о том, что http://entrian.com/ был просмотрен с http://sitename.com/somegibberish.php?othergibberish= ...

источник

2009-09-28 12:00:12 RichieHindle

+0

Я не буду ссылаться на какой-либо другой сайт из ссылки администратора, так что это не проблема. – 2009-09-28 12:01:09

1

Пока «Login-URL» не публикуемую в любом месте, там не должно быть никаких чтобы поисковые системы могли его найти. И если это всего лишь небольшая личная игрушка-сайт без личного или действительно важного контента, я вижу это как быстрое и достойное решение для безопасности по сравнению с внедрением какой-либо формы правильной системы авторизации/авторизации.

Если сайт получает большое количество пользователей и большое количества контента, или просто становится больше, чем «игрушечным сайт», я бы посоветовал вам сделать это правильный путь

источник

2009-09-28 12:01:03

4

некоторыми совершенно случайным строка , которую я только знаю.

Звучит как пароль для меня. :-)

Если вам нужно запомнить секретную строку, я бы предложил делать имена пользователей и пароли «правильно», поскольку HTTP-серверы были бы написаны, чтобы не утечка информации о пароле; То же самое относится и к URL-адресам.

Это может быть только сайт-игрушка, но почему бы не практиковать правильную настройку безопасности, так как это не имеет значения, если вы ошибетесь. Поэтому, надеюсь, если у вас есть сайт, который вам нужно защитить в будущем, вы уже сделали бы все свои ошибки.

источник

2009-09-28 12:01:16

0

Я не знаю, как будет отображаться ваша страница управления игрушкой, но имейте в виду, что при загрузке внешних изображений или в другом месте ваш реферер собирается опубликовать ваш URL.

источник

2009-09-28 12:01:31 innaM

2

Я знаю, что безопасность через маскировку обычно очень плохая идея,

Fixed это для вас.

Опасность здесь в том, что вы можете привыкнуть «о, это сработало для« Игрушечного »такого-то и такого-то сайта, поэтому я не буду беспокоиться об использовании real безопасности на этом другом сайте».

Если вы проигнорируете Kerckhoff's Principle, вы будете плохо себя чувствовать (и любые клиенты/пользователи вашей системы).

Это, как говорится, сворачивает вашу собственную систему безопасности Плохая идея. Более умные люди уже создали библиотеки безопасности на других основных языках, и даже более умные люди пересматривают и настраивают эти библиотеки. Используй их.

источник

2009-09-28 12:54:50 BryanH

+0

Ну, пароли - это «безопасность через неясность»: они безопасны, пока никто не знает их. Я думаю, что ключевое различие между паролем и «секретным URL» заключается в том, что URL-адрес может отображаться в разных журналах, как отмечали другие. Тем не менее, сложно настроить базовую аутентификацию. Если Том не знает, как это сделать, он, вероятно, все вокруг лучше изучает, чем «может быть, это сработает». – Jay

+1

Безопасность через скрытность, возможно, имеет преимущество перед паролями и т. Д.: Достаточно опытный хакер может проникнуть в очень безопасные сайты. Но если никто не знает, что URL существует, они не собираются пытаться его взломать. Например, если бы у меня было миллион долларов в золоте, которое я хотел защитить от кражи, безопасный сейф был бы хорошей идеей, но опытный вор мог бы, возможно, проникнуть в него. Но если никто не знает, что у меня есть куча золота, тогда они даже не придут искать его. – Jay

+0

Попытка найти бэкдор - одна из основных техник хакерства. «Давайте заглянем в 1000 сейфов, может быть, один из них содержит золото. И давайте использовать бота, чтобы сделать это для нас». – Sulthan

0

Если вы изменили http на https, то по крайней мере URL-адрес не будет виден никому, кто нюхает в сети.

источник

2009-09-28 13:05:09 Johan

0

(оговорка здесь заключается в том, что вам также необходимо учитывать, что очень неясная система входа в систему может оставлять интересные трассы в сетевых трассах (MITM), где-то на сайте/цели для включения priv.elevation, или на систему, которую вы используете для входа в систему, если она больше не защищена, а некоторые предпочитают вход администратора, который не отличается от стандартного входа пользователя во избежание этого).

Возможно, вам потребуется некоторое количество действий и с некоторым количеством секунд задержек между временами. После этого действия заметили задержку, действие, задержку, шаблон действия, интерфейс администратора стал доступен для входа. И URL-адреса, используемые в интерфейсе, могут быть рандомизированы каждый раз с использованием одного URL-адреса, созданного после этого шаблона. Кроме того, вы можете открыть этот интерфейс только через туннель и только на минуту на порт, закодированный задержками.

Если вы можете сделать все это так, как это не выделялось в журналах, это было бы «умным», но вы также могли бы открыть новые дыры, написав весь этот код, и это противоречит «сохранить его простой глупый ".

источник

2013-07-10 07:49:20

 Смежные вопросы

  • Нет связанных вопросов^_^