【问题标题】:Are all URLs discoverable? Can you hide information safely in a random URL?所有 URL 都可发现吗?您可以在随机 URL 中安全地隐藏信息吗?
【发布时间】:2018-05-01 03:56:32
【问题描述】:

我一直在想这个问题。


假设我在

有一个 Web 应用程序

www.example.com

如果应用程序有 n 个用户,每个人都可以简单地使用 URL 登录吗?

例如为了让用户 1 访问他们的应用程序部分,他们将访问

www.example.com/user/1

在上面这种情况下,很容易猜到 URL 方案。

但是如果不能轻易猜到怎么办? 例如。为了让用户 1 访问他们的应用程序部分,他们将访问

www.example.com/user/[随机字符串]


这些随机 URL 是否可以被发现?

我所说的随机 URL 是指包含一长串随机字符的 URL。如果使用此 URL 作为密码,将很难猜到。

其次,一个更实际的问题—— 可以假设没有其他人可以访问他们的应用程序部分吗?

或者另一种提问方式,猜测随机字符串是访问某人应用程序部分的唯一方法吗?


以这种方式设计应用程序的动机是不需要登录/注销。

谢谢

【问题讨论】:

    标签: web-services security networking web


    【解决方案1】:

    即使你用一个随机字符串代替用户 ID,同样的问题仍然存在。如果有人猜测或以某种方式检索到另一个用户的随机数,他或她仍然可以访问它。

    您正在尝试的称为通过默默无闻的安全性。仅基于隐藏或模糊敏感数据来获得整体安全并不是一个好计划。

    这些随机 URL 是否可以被发现?

    可以被搜索引擎发现?这取决于您的网站设置。 无障碍?是的。

    可以假设没有其他人可以访问他们的应用程序部分吗?

    我不确定你的意思,你会澄清这部分。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2011-10-01
      • 2012-06-01
      • 1970-01-01
      • 1970-01-01
      • 2011-10-12
      • 2022-10-25
      • 1970-01-01
      相关资源
      最近更新 更多