পাসওয়ার্ডের পরিবর্তে এলোমেলো URL গুলি ব্যবহার করা কি ঠিক আছে? [বন্ধ]

12

এ জাতীয় এলোমেলো অক্ষর থেকে তৈরি ইউআরএল ব্যবহার করা কি "নিরাপদ" হিসাবে বিবেচিত?

http://example.com/EU3uc654/Photos

আমি কোনও ওয়েবসভারে কিছু ফাইল / চিত্র গ্যালারী রাখতে চাই যা কেবলমাত্র একটি ক্ষুদ্র ব্যবহারকারীর দ্বারা অ্যাক্সেসযোগ্য। আমার প্রধান উদ্বেগটি হ'ল ফাইলগুলি অনুসন্ধান ইঞ্জিন বা কৌতূহলী শক্তি ব্যবহারকারীদের দ্বারা নেওয়া উচিত নয় যা আমার সাইটের চারপাশে ঝাঁকুনি দেয়।

আমি একটি .htaccess ফাইল সেট আপ করেছি, কেবল লক্ষ্য করার জন্য যে http://user:pass@url/লিঙ্কগুলিতে ক্লিক করা কিছু ব্রাউজার / ইমেল ক্লায়েন্টগুলির সাথে ভাল কাজ করে না, সংলাপগুলি এবং সতর্কতা বার্তাগুলি প্রেরণা দেয় যা আমার খুব বেশি কম্পিউটার-সচেতন ব্যবহারকারীদের বিভ্রান্ত করে।

web-server  authentication  password  password-protected 
ভাপে সিদ্ধ করা
সূত্র
না, আপনি এটি ব্যবহার করতে পারেন তবে একমাত্র বা প্রধান প্রমাণীকরণ প্রক্রিয়া হিসাবে নয়।
অ্যান্ড্রু স্মিথ
1
আমি এটি পরীক্ষামূলক হিসাবে বহুবার চেষ্টা করেছি এবং প্রতিবার লিঙ্কগুলি অনুসন্ধান ইঞ্জিনগুলিতে সক্রিয় হয়। আমি জানি না কীভাবে, তবে আমি জানি এটি ঘটে।
ডেভিড শোয়ার্টজ
সতর্কতাগুলি বন্ধ করতে আপনি এসএসএলকে কনফিগার করতে চাইতে পারেন, আপনি প্রারম্ভিক ডটকম থেকে বিনামূল্যে সার্টিফিকেট পেতে পারেন এবং এসএসএল আর গণ্যসংক্রান্ত নিবিড় হয় না (যতক্ষণ না এটি সঠিকভাবে কনফিগার করা থাকে)।
হুবার্ট কারিও
এই প্রশ্নটি একটি ধ্রুপদী "নয় গঠনমূলক" উদাহরণ। আপনার ছবিগুলির সুরক্ষার জন্য আপনি কতটা মূল্যবান তা আমরা জানি না। আপনি সুরক্ষার গুরুত্বের সাথে যোগাযোগ করার একমাত্র উপায় হ'ল সেই ছবিগুলিতে অ্যাক্সেস রক্ষা করতে আপনি অনুমোদিত অনুমোদনের পদ্ধতিটি। আপনি যা পেয়েছেন তা হ'ল "জবাবগুলি" আকারে "বিতর্ক যুক্তি"। তবে এগুলির কোনওটিই আধুনিক সুরক্ষা এবং প্রযুক্তিগত বিষয়গুলির সম্পূর্ণ জরিপ নয়। আপনার প্ল্যাটফর্মের সরবরাহিত সুরক্ষা পদ্ধতিগুলি আপনার পড়া উচিত এবং আপনার পরিস্থিতির জন্য প্রতিটিটির মূল্য নির্ধারণ করা উচিত; এটি করার পরে যদি আপনার আরও প্রশ্ন থাকে তবে আবার জিজ্ঞাসা করুন।
ক্রিস এস

উত্তর:

17

এটি "ঠিক আছে" কিনা তা নির্ভর করে চিত্রগুলি কতটা সংবেদনশীল।

আপনি যদি এসএসএল ব্যবহার না করে থাকেন তবে ইউআরএল, এইচটিএমএল এবং চিত্রগুলি নিজের ব্যবহারকারীর কম্পিউটারে ক্যাশে হবে। এটি ফাঁস হতে পারে তবে আমি এটিকে অসম্ভব বলে বিবেচনা করব।

ব্রাউজার টুল বারগুলি, বিশেষত অ্যালেক্সা এবং নেটক্রাফ্টের মতো ক্রোলার চালিত সংস্থাগুলি দ্বারা তৈরি দর্শনগুলি ইউটিউবগুলিকে তাদের পিতামাত্ত সাইটে ফিরে রিপোর্ট করতে পারে, বটটি আসতে এবং পরে ক্রল করার জন্য প্রস্তুত।

যথাযথ প্রমাণীকরণ যেমন HTTP লেখক বা একটি পোষ্ট ভেরিয়েবলকে এইভাবে ক্যাশেযোগ্য করা উচিত নয় বা কোনও প্যারেন্ট ওয়েবসাইটের কাছে রিপোর্ট করা উচিত নয়।

আর একটি কৌশল হ'ল অনন্য এবং স্বল্পকালীন ইউআরএল ব্যবহার করা। এইভাবে, তারা ফুটো করলেও, এটি খুব বেশি গুরুত্বপূর্ণ নয়। অবশ্যই, আপনাকে নতুন ইউআরএলগুলির বৈধ ব্যবহারকারীদের আপডেট করতে হবে।

Ladadadada
সূত্র
ব্রাউজার টুলবার উল্লেখ করার জন্য +1।
হুবার্ট কারিও
23

না, সত্যই নয়, এটি কেবল অস্পষ্টতার মাধ্যমে সুরক্ষা যা মোটেই সুরক্ষা নয়। প্রকৃত সুরক্ষার কোনও ফর্ম ছাড়াই ইন্টারনেট থেকে সরাসরি অ্যাক্সেসযোগ্য যে কোনও কিছুই পাওয়া যাবে, সূচিযুক্ত এবং ক্যাশেড।

user9517
সূত্র
10
সমস্ত পাসওয়ার্ড কি যাইহোক অস্পষ্টতার মাধ্যমে সুরক্ষা নয়?
উইনস্টন ইওয়ার্ট
4
@ উইনস্টোনওয়ার্ট: অস্পষ্টতার মাধ্যমে পাসওয়ার্ডগুলি সুরক্ষার সাথে কিছুই করার নেই যা ডিজাইন / প্রয়োগের গোপনীয়তার সাথে সম্পর্কিত। উদাহরণস্বরূপ অ্যাপাচি বেসিক এথের ক্ষেত্রে এটির নকশা / বাস্তবায়ন সবার জন্য দেখার জন্য সম্পূর্ণ উন্মুক্ত।
ব্যবহারকারী 9517
10
বাজে কথা - অস্পষ্টতার মধ্য দিয়ে সবকিছুই সুরক্ষা। পুরো বিষয়টি হ'ল সেখানে পৌঁছানোর জন্য আপনার এক টুকরো তথ্যের প্রয়োজন যা অনুমানযোগ্য unlikely "সুরক্ষা মাধ্যমে অস্পষ্টতা" বাক্যাংশটি ব্যাপকভাবে অপব্যবহার করা হয়েছে। ইউআরএল এর একটি এলোমেলো টুকরা URL এ "পাসওয়ার্ড" দেওয়ার সমতুল্য to একমাত্র প্রশ্ন - কে তা দেখতে পারে এবং আমি আমার মন্তব্যে যে উত্তরটি দিয়েছি তা হ'ল "মধ্যবর্তী প্রক্সি, প্লাস এটি এইচটি, যাতে যে কেউ স্নুপ করতে পারে"
ব্রোন গন্ডওয়ানা
1
অ্যাপাচি কনফিগারেশনে একটি ভুল (বা ডিফল্ট কনফিগারেশনে ফিরে যান) এবং আপনার ডিরেক্টরিগুলি আপনার হাতের তালুতে সমস্ত ফাইল এবং ডিরেক্টরিগুলির সাথে সূচকগুলি দেখায়, পাসওয়ার্ডের সাথে এতটা না।
হুবার্ট করিও
4
আপনি বলেছেন যে অস্পষ্টতার মাধ্যমে সুরক্ষা "নকশা / প্রয়োগের গোপনীয়তার সাথে সম্পর্কিত"। তবে স্পষ্টতই, এলোমেলো ইউআরএলএস ডিজাইন / প্রয়োগের গোপনীয়তার সাথে সম্পর্কিত নয়। সুতরাং, এলোমেলো ইউআরএল, তাদের ত্রুটি যাই হোক না কেন, অস্পষ্টতার মাধ্যমে সুরক্ষা হিসাবে শ্রেণিবদ্ধ করা যায় না।
উইনস্টন ইওয়ার্ট
6

তারা প্রতিটি প্রক্সিটিতে লগ ইন করবে। বাস্তবে কেউ লিঙ্কটি প্রকাশ না করলে আপনি কৌতূহলী শক্তি ব্যবহারকারী এবং অনুসন্ধান ইঞ্জিনগুলি থেকে নিরাপদ থাকবেন।

এবং অবশ্যই আপনার জেনারেটরের এলোমেলো জন্য নজর রাখুন।

আমি অনুমান করছি আপনি এখানে উচ্চ-উচ্চ সুরক্ষা খুঁজছেন না।

ব্রন গন্ডওয়ানা
সূত্র
যদি কেউ ইউআরএল প্রকাশ করেন তবে কিছুই তাকে পাসওয়ার্ড প্রকাশ করা থেকে বিরত রাখবে না। জ্ঞান দ্বারা একটি উপাদান হিসাবে প্রমাণীকরণ সর্বদা এইভাবে "ছলনা" করা যেতে পারে।
ম্যানুয়েল ফ্যাক্স
@ ম্যানুয়েলফ্যাক্স: অবশ্যই, যদি এটি উদ্দেশ্যমূলক হয়। তবে এটি দুর্ঘটনাজনিতও হতে পারে। উদাহরণস্বরূপ, তিনি এমন একটি সরঞ্জাম ব্যবহার করতে পারেন যা URL টি দেখার জন্য সেগুলি URL টি পরীক্ষা করে দেখেছিল যে সেগুলি দূষিত হয়েছে কিনা। সরঞ্জামগুলি জানে পাসওয়ার্ডগুলি গোপন রাখার কথা। তারা জানে যে ইউআরএলগুলির পরামিতিগুলি সংবেদনশীল হতে পারে। তবে তারা জানে না যে ইউআরএলগুলিতে পাথগুলি করে। (উদাহরণস্বরূপ, এইচটিপি রেফারার ))
ডেভিড শোয়ার্জ
5

একটি ক্রিপ্টিক ইউআরএল একক ব্যবহারের ডাউনলোডের জন্য কার্যকর তবে কোনও বাস্তব সুরক্ষা সরবরাহ করে না। আপনার সচেতন হওয়া দরকার যে সমস্ত বটগুলি রোবটসটিটিএসটি ফাইলকে সম্মান করে না, তাই যদি ছদ্মবেশী ফোল্ডারের দিকে পরিচালিত আপনার সাইটের মধ্যে কোনও লিঙ্ক থাকে তবে এটি কিছু অনুসন্ধান ইঞ্জিন দ্বারা সূচকযুক্ত হবে এবং এটি শুরু হয়ে গেলে আর ফিরে আসবে না।

আমি পরিবর্তে একটি সহজ .htaccess ভিত্তিক প্রমাণীকরণ সিস্টেম ব্যবহার করার পরামর্শ দিই বা আপনি যা প্রস্তাব করছেন তা ছাড়াও।

জন গার্ডেনিয়ার্স
সূত্র
5

আমি এই উদাহরণটির মতো অপ্রত্যাশিত ইউআরএলগুলিতে আরও একটি ভীতিজনক দৃষ্টিভঙ্গি যুক্ত করতে চাই। এমনকি যদি আপনার ইউআরএলটি আকস্মিকভাবে ভাগ না করা হয় তবে এটি অনুসন্ধান ইঞ্জিনগুলিতে জমা দেওয়া হতে পারে:

  • একজন দর্শনার্থীর আইএসপি। এইচটিটিপি ভিজিটগুলি সংগ্রহ করা হয়, ডেটাামিনযুক্ত হয় এবং কখনও কখনও এমনকি আইএসপি দ্বারা তৃতীয় পক্ষের কাছে সরাসরি বিক্রিও হয়।
  • একটি দর্শনার্থীর ক্লাউড স্টোরেজ। ব্রাউজার ইনস্টলগুলি জুড়ে সিঙ্ক করার জন্য নিখরচায় বুকমার্ক এবং ইতিহাস সংরক্ষণ করে বেশ কয়েকটি পরিষেবা রয়েছে। তারা মোজিলার মতো ডেটা প্রি-এনক্রিপ্ট না করে, একই ডেটা মাইনিং অনুশীলনগুলি বোঝানো যেতে পারে।

YMMV।

korkman
সূত্র
ওহ হ্যাঁ - বা কেবল কোনও ব্রাউজার প্লাগইন দ্বারা যা সম্পর্কিত সাইটগুলি সন্ধান করে বা ব্যবহারকারীদের কোনও পৃষ্ঠা সম্পর্কে নোটগুলি ভাগ করতে দেয়
ব্রোন গন্ডওয়ানা
2

অতীতে আমি একটি অনুরূপ পদ্ধতি ব্যবহার করে ব্যবহারকারীদের একটি দস্তাবেজ পরিচালন সিস্টেমে ভাগ করে নেওয়ার সুযোগ তৈরি করতে পারি। ভাগ করা সামগ্রীটি গোপনীয় ছিল না তাই সিস্টেমটিকে অতি সুরক্ষিত করতে হবে না।

আমি কেবলমাত্র প্রতিটি ব্যবহারকারীর URL এ একটি মেয়াদ শেষ হওয়ার টাইমস্ট্যাম্প এবং তাদের ইমেলের একটি MD5 রয়েছে।

ইউআরএল দেখতে এত সুন্দর:

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

উপরের সাথে, যদি ব্যবহারকারী 30 ই জুলাইয়ের আগে user@gmail.com ইমেলটি প্রবেশ করান তবে তারা যেতে ভাল হবে।

সামরিক গ্রেড সুরক্ষা নয় তবে কাজটি করেছেন Not

ডেভ ই
সূত্র
0

এটি ইউআরএলে সেশন আইডি সংরক্ষণের মতো একই দুর্বলতা ভাগ করে দেয়। কেউ ঘটনাক্রমে অন্যকে লিঙ্কটি অনুলিপি-অনুলিপি করতে পারে, এটি কোনও স্ক্রিনশটে সেন্সর করতে ভুলে যায় বা কাউকে এটি সন্ধান করতে দেয়, কারণ এটি পাসওয়ার্ডের মতো ছোট নয়।

এছাড়াও, যদি কিছু সামগ্রী লগ ইন করে পাসওয়ার্ড সুরক্ষিত থাকে তবে আপনি জানেন এটি একটি গোপনীয়তা। আপনি যদি একটি লিঙ্ক পান তবে আপনি তা ভুলে যেতে পারবেন।

আর একটি বিষয় ব্যবহারকারীর সুবিধাগুলি অপসারণ করছে। আপনি কোনও ব্যবহারকারীকে মুছতে পারেন, সুতরাং তিনি আর লগইন করতে পারবেন না, তবে লিঙ্কগুলির সাথে আপনাকে সেগুলি পরিবর্তন করতে হবে এবং প্রত্যেককে (মুছে ফেলা ব্যবহারকারী বাদে) নতুন ইউআরএল প্রেরণ করতে হবে।

আমার মনে হয় এগুলি যদি কেবল চিত্র হয় তবে এটি খারাপ নয়। তবে এগুলি যদি এমন কিছু চিত্র হয় যা আপনি সত্যিই ভাগ করে নিতে চান না;) তবে আমি আপনাকে আরও দীর্ঘ এলোমেলো শব্দটি ব্যবহার করার পরামর্শ দিচ্ছি, যেমনটি ডেভ ই উপস্থাপিত হয়েছে like

সম্পাদনা: যুক্ত করবেন? ইউআরএল-এ DO_NOT_SHARE_THIS_LINK: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654- এই- শোল্ডড-be-longer/Photos?DO_NOT_SHARE_THIS_LINK

এটাই যেমন কংগ্রিগেট গেমগুলি অন্য কোথাও হোস্ট করা এম্বেড করার সময় করে (এটি ফ্রেমের ইউআরএলে প্রমাণীকরণের শংসাপত্র রাখে)। বিটিডাব্লু, কংগ্রিগেট এছাড়াও প্রকাশিত গেমগুলির জন্য অতিথি অ্যাক্সেস লিঙ্কগুলি ব্যবহার করে, আপনি যেভাবে ব্যবহার করতে চান।

মার্কাস ভন ব্রোডি
সূত্র
আসলে এটি সেশন আইডি এর চেয়েও খারাপ, কারণ সেশনগুলির কিছু সময়ের পরে মেয়াদ শেষ হয়। সেশন আইডিতে লগইন করা সন্ধান ইঞ্জিনগুলি সাধারণত মৃত লিঙ্ক উপস্থাপন করে / ফলাফলে সেশনে লগইন করে না। অথবা, যদি সার্ভারটি যত্ন না করে তবে এটি অনেক ব্যবহারকারীর সেশনটি সিঙ্ক করতে পারে এবং যখন তাদের মধ্যে একটি লগ ইন করে, তারা সকলে তা করে। যাইহোক, স্থায়ীভাবে লগ ইন হওয়া URL হিসাবে খারাপ নয় :-)
কর্কম্যান
অবশ্যই এটি আরও খারাপ, এবং ইউএসএল-তে স্যাসিড পাওয়ার জন্য আপনাকে প্রথমে লগইন করতে হবে এবং আপনি আইপি পরিবর্তন হলে আপনি সেশনটি নষ্ট করতে পারেন session
মার্কাস ভন ব্রোডি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.