Небезопасные ссылки на прямые объекты и поисковые системы

Согласно OWASP Top 10 List одним из способов предотвращения небезопасных прямых ссылок на объекты является предоставление только косвенных ссылок. Это искусственные ссылки, которые сопоставляются с прямыми (например, БД) ссылками на сервере. Отображение сохраняется в сеансе.Небезопасные ссылки на прямые объекты и поисковые системы

К сожалению, это решение не очень подходит для поисковой системы. Ссылки, сохраненные искателем, будут недействительными в другом сеансе.

Есть ли способ обойти эту проблему? Существуют ли другие решения, помимо сопоставления ссылок или проверки доступа к объектам?

источник

2010-12-07 raymi

Вы описываете проблему, которая не существует :-)

Все, что поисковая система должна иметь возможность сканировать и видеть должен быть публичным, потому что все поисковая система может увидеть, можно увидеть все. Для данных, которые, как ожидается, будут общедоступными - по определению - ссылка на объект никогда не может быть небезопасной. Небезопасный означает, что он должен быть защищен.

Итак, если вы задаете этот вопрос, сделайте шаг назад и внимательно посмотрите на свои данные. Если он должен быть сканируемым, почему вы пытаетесь его защитить? Если он должен быть защищен, зачем вы его отправляете в поисковые системы.

источник

2010-12-07 10:04:26 Steven

Я не уверен, понимаем ли мы то же самое по «небезопасной ссылке»: небезопасная ссылка является общедоступной ссылкой, которую можно легко изменить, чтобы она указывала на непубличный объект. Например. на веб-сайте есть две статьи: статья A с id 12 является общедоступной, статья B с идентификатором 43 является непубличной. Общедоступный (и сканированный) URL/article? Id = 12 использует небезопасную ссылку, поскольку ее можно легко изменить, чтобы показать статью 43, если дальнейшие меры предосторожности не выполняются. – raymi 2010-12-07 12:19:02

Небезопасные ссылки на прямые объекты и поисковые системы

ответ

Смежные вопросы