1. дома
  2. Вопрос и ответ
  3. Нужно ли мне защищать паролем свое веб-приложение, если оно находится на неясном URL-адресе?

Нужно ли мне защищать паролем свое веб-приложение, если оно находится на неясном URL-адресе?

2012-11-27 2 views
4

Если у меня есть сценарий, я хочу иметь возможность запускаться в любой момент и иметь его на публичной стороне сервера на https, и до тех пор, пока я храню свой собственный личный кеш от посторонних глаз, это безопасно, как сценарий «за публикой», в который я должен был бы войти с именем пользователя и паролем для создания экземпляра?Нужно ли мне защищать паролем свое веб-приложение, если оно находится на неясном URL-адресе?

Для примера рассмотрим эти два метода:

1) Я войти с именем пользователя: XXXXXXXX, пароль: YYYYYYYY (скажем, с помощью SSL или CPanel, а затем запустить скрипт)

2) Я просто запустить этот путь от моего iphone, https://www.iamsilly.com/xxxxxxxx/yyyyyyyy/myscript.php

Устранение возможности того, что кто-то может забрать мой iPhone и посмотреть в моей истории, есть ли какая-либо практическая разница между уровнем безопасности между этими двумя системами безопасности? Является ли сложность не совсем такой же? Является ли https недостаточно зашифрованным, чтобы сделать https-сложность столь же безопасной, как и вход в систему?

Спасибо, прошу прощения, если эта тема была обсуждена со смертью, но после прочтения кусков сообщений об этом я до сих пор не совсем понял!

EDIT: Имейте в виду, что путь с рандомизированным двойным каталогом 8x8 содержит 7 квинтиллионов (семь миллиардов миллиардов) комбинаций, и только в том случае, если я буду использовать буквенные и цифровые символы.

источник

2012-11-27 Rickaroo

+0

Возможный дубликат [Если вы используете https, ваши параметры url будут безопасны от обнюхивания?] (Http://stackoverflow.com/questions/893959/if-you-use-https-will-your-url-params -will-be-safe-from-sniffing) –

+0

Https включает только шифрование соединения с сервера на конечное устройство. Это предотвращает передачу трафика с вашего сервера на клиентский браузер простым текстом. Это похоже на http, за исключением того, что аутсайдеры не могут просматривать трафик. Вот и все. – kermit

+0

Однако: если возможность отображения содержимого каталога отключена на веб-сервере, кажется, что злоумышленнику будет сложно угадать имена каталогов. Особенно, если у вас необычно названные каталоги. Правильный «официальный ответ»: «Нет безопасности через неясность», но ... не угадывает пароли, как пытаться угадать комбинации каталогов? – kermit

ответ

9

Вы говорите: «Мне не нужно запирать входную дверь, если она не видна с улицы, верно?»

Вы предполагаете, что знаете, как данный злоумышленник найдет свой путь на ваш сайт. Вы этого не сделаете.

Вы предполагаете, что один человек пытается попасть на ваш сайт. Вероятно, это не будет человек, и, вероятно, это будет не один. Попытки вторжения очень хорошо развиваются.

Я положил ремень безопасности в машину независимо от того, куда я иду, даже если я буквально проезжу на четверть мили. Это безопаснее, и я не трачу время на мозг, задаваясь вопросом, нужно ли мне это делать. Поместите пароль в свое приложение и не тратьте время на то, чтобы выяснить, стоит ли это или нет.

источник

2012-11-27 15:04:17

+4

Вот пример атаки, которую я ставлю, OP не думал: используя JavaScript, чтобы обнюхать историю и передать ее на badguy.com http: //security.stackexchange.com/questions/17873/workarounds-for-visited-css-history-reconnaissance –

+0

Предполагая, что вы находитесь на Apache, использование htpasswd не сложно. http://httpd.apache.org/docs/2.2/programs/htpasswd.html – MikeHoss

+0

Нет, я говорю, что у моего дома есть 7958661109946400884391936 двери. Ха-ха. И если бы я сделал путь http://www.mysite.com/xxxxxxxxxxxx/yyyyyyyyyyyy/script.php, тогда у моего дома было бы 7958661109946400884391936 дверей. Это много дверей. И открывается только один. Но, в любом случае, я ценю вклад каждого! : o) – Rickaroo

2

No, Security through Obscurity не является никакой защитой.

источник

2012-11-27 05:39:11 GreyBeardedGeek

+1

Непосредственно с этой страницы ... «Существует ограниченная формальная литература по проблеме безопасности через неясность. Книги по технике безопасности приведут доктрину Керкхоффса с 1883 года, если они вообще что-нибудь приведут». – Rickaroo

+1

Это все хорошо и хорошо, пока кто-то не обнаруживает ваш «скрытый» url ... – GreyBeardedGeek

2

Я думаю, что ответ: «Как бы плохо, если бы кто-то справился с этим?» затем действовать соответственно.

«Это никогда не произойдет» всегда делает меня параноидальным.

источник

2012-11-28 01:32:11

+1

Согласен. Я тоже согласен с ремнем безопасности, как упоминал @ Энди Лестер. Это может быть обучением старой собаке (мне) новым трюком (параноидальным). Я думаю, что мораль этой истории может заключаться в том, что паранойя может, наконец, работать в мою пользу. : О) – Rickaroo

Смежные вопросы

 Смежные вопросы