为什么网站要加密个人资料名称?

【问题标题】:Why do websites encrypt profilenames?为什么网站要加密个人资料名称?
【发布时间】:2012-07-29 04:14:22
【问题描述】:

我访问的每个网站:microsoft.com、gmail、minecraft.net、yahoo.com,除了 facebook,查看某人的个人资料,个人资料页面的查询字符串都是加密的。我的意思是个人资料页面名称是加密的。为什么是这样?为什么查询字符串不能是这样的:www.minecraft.com/profilepage.aspx?ProfilePageName=Fred 而不是 www.minecraft.com/profilepage.aspx?mts=ee3234423edder3443e

对于我的网站,查询字符串就像 pp=Fred 一样简单,我担心这样做会带来安全风险。有没有?还是网站只是过度保护?

【问题讨论】:

  • 配置文件名称看起来没有加密。配置文件似乎被分配了一个唯一的 GUID,正在使用中。
  • 我的网址是我编的,所以我不知道我写了什么
  • 另一个例外:这个网站!

标签: asp.net query-string security


【解决方案1】:

阻止您猜测个人资料页面。取决于网站,这可能是好事还是坏事

停止通过 http 引荐标头泄漏用户名

如果用户可以更改他们的个人资料名称,则可以减少页面中断(或完全错误)的机会。例如 - 我是您网站的会员,我的名字是 Bob。然后我把它改成布鲁斯。任何链接到 Bob 的人都可能得到 404,或者可能得到另一个 Bob

【讨论】:

    猜你喜欢
    • 2022-07-06
    • 1970-01-01
    • 1970-01-01
    • 2019-02-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-04-29
    • 2015-06-05
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode