【发布时间】:2012-11-14 16:35:07
【问题描述】:
如果我有一个脚本,我希望能够在接到通知后立即运行并将它放在 https 上服务器的公共端,并且只要我自己的个人缓存不被窥探,这是否安全作为一个“公众背后”脚本,我必须使用用户名和密码登录才能实例化?
例如,考虑以下两种方法:
1) 我使用用户名:xxxxxxxx,密码:yyyyyyyy 登录(例如使用 ssl 或 cpanel 然后触发脚本)
2) 我只是从我的 iPhone 上运行这条路径,https://www.iamsilly.com/xxxxxxxx/yyyyyyyy/myscript.php
排除有人拿起我的 iPhone 并查看我的历史记录的可能性,这两个安全系统之间的安全级别是否有任何实际差异?复杂度不完全一样吗? https 是不是没有加密到足以让 https 的复杂性和登录一样安全?
谢谢,如果这个话题被说死了,我很抱歉,但是看了很多关于它的帖子,我还是不太明白!
编辑:请记住,具有 8x8 随机双目录的路径有 7 quintillion(七十亿)组合,并且仅当我使用字母和数字字符时。
【问题讨论】:
-
Https 只涉及加密从服务器到终端设备的连接。这可以防止从您的服务器到客户端浏览器的流量以纯文本形式传输。它就像http一样,只是外人无法查看流量。就是这样。
-
但是:如果在 Web 服务器上关闭了列出目录内容的功能,攻击者似乎很难猜出目录名称。特别是如果您有异常命名的目录。正确的“官方回应”是“通过默默无闻没有安全性”但是......猜测密码不像试图猜测目录组合吗?
-
您应该使用用户名/密码和隐藏路径 :) 深度安全方法总是更好。其次要注意路径,因为它们默认记录在 apache 日志中,而 IEEE 发现它很困难:esecurityplanet.com/network-security/…
-
@fatfredyy - 从那篇文章中,“他们未能限制对其网络服务器日志的访问”......我会说问题在于有人允许访问网络服务器日志,而不是默默无闻的失败构造。我的问题是关于为什么“登录”的用户名和密码比具有相同熵的路径更安全。在 IEEE 的情况下,任何人都可以破解用户名和密码来访问网络服务器日志,然后不能直接访问日志和脚本吗?