পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণের সমতুল্য কি ব্যক্তিগত, অবর্ণনীয় URL গুলি?

128

আমি ওয়েবে একটি সংস্থান উন্মোচন করতে চাই। আমি এই সংস্থানটি রক্ষা করতে চাই: এটি কেবলমাত্র নির্দিষ্ট ব্যক্তির কাছেই অ্যাক্সেসযোগ্য make

আমি কোনও ধরণের পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণ সেট আপ করতে পারি । উদাহরণস্বরূপ, আমি কেবলমাত্র একটি ওয়েব সার্ভারের মাধ্যমে সেই সংস্থানটিতে অ্যাক্সেসের অনুমতি দিতে পারলাম যা ফাইলটি পরিবেশন করার আগে সঠিক শংসাপত্রগুলির জন্য আগত অনুরোধগুলি (সম্ভবত ব্যবহারকারীদের কিছু ব্যাকিং ডাটাবেসের বিরুদ্ধে) পরীক্ষা করে।

পর্যায়ক্রমে আমি কেবল একটি ব্যক্তিগত ইউআরএল ব্যবহার করতে পারি । এটি হ'ল আমি কেবল কিছু অসম্ভব-অনুমানের পথে উত্সটি হোস্ট করতে পারি, উদাহরণস্বরূপ https://example.com/23idcojj20ijf..., যাঁরা সঠিক স্ট্রিং জানেন তাদের অ্যাক্সেসকে সীমাবদ্ধ করে।

এই সম্পদ অ্যাক্সেস করতে চায় এমন একজন অপরাধীর দৃষ্টিকোণ থেকে, এই পদ্ধতির সমতুল্য? তা না হলে এগুলি কী আলাদা করে তোলে? এবং যতক্ষণ না রক্ষণাবেক্ষণের দিক থেকে, একটি বা অন্যটিকে বাস্তবায়নের আগে যে বিষয়ে আমি সচেতন হওয়া উচিত সেগুলির পক্ষে কি কোন মতামত এবং নীতি আছে?

security  authentication 
GladstoneKeep
সূত্র
45
এই পদ্ধতিটি সাধারণত পাসওয়ার্ড পুনরায় সেট করার মতো জিনিসের জন্য প্রমাণীকরণ ব্যতীত ব্যবহৃত হয় । অবাস্তব লিঙ্কটি সাধারণত অল্প সময়ের মধ্যেই শেষ হয়ে যায় এবং কেবলমাত্র এটি ইতিমধ্যে আধা-প্রমাণীকৃত কেউ ব্যবহার করতে পারেন (যেমন ওয়েবসাইটটি ইতিমধ্যে ইমেল ঠিকানাটি জানে যে লিঙ্কটি প্রেরণ করা হয়েছিল)।
রবার্ট হার্ভে
6
সুরক্ষা সম্পর্কিত সম্পর্কিত
চিহ্নিত করুন
9
@ মনকিজেস এটি অস্পষ্টতার মধ্যে দিয়ে সুরক্ষা নয়। গোপনীয়তা, এটি সাধারণত একটি পাসওয়ার্ড, এই ক্ষেত্রে একটি ইউআরএল।
ডেভিডম
16
@ মনকিজেইস: সুরক্ষা-মাধ্যমে-অস্পষ্টতা বলতে মেকানিজমের প্রয়োগ গোপন রাখা, অস্পষ্ট কীগুলি ব্যবহার না করে বোঝায় । যদি অস্পষ্টতাযুক্ত url গুলি অস্পষ্টতার মাধ্যমে সুরক্ষা হয় তবে শক্তিশালী পাসওয়ার্ডগুলিও।
জ্যাকবিবি
1
@ গ্ল্যাডস্টোনকিপ ইউআরএল সংক্ষিপ্তকারীদের মনে রাখবেন। দূষিত কেউ একবার এর মধ্যে একটির ব্যবহার করলে লিঙ্কটি অনুমান করা / লিখতে আরও সহজ হবে।
RookieTEC9

উত্তর:

203

একটি ব্যক্তিগত ইউআরএল শংসাপত্রগুলির সাথে প্রমাণীকরণের তুলনায় কিছুটা দুর্বল, এমনকি যদি URL এর বিট আকার শংসাপত্রগুলির মতো হয়। কারণটি হ'ল ইউআরএল আরও সহজে "ফুটো" হতে পারে। এটি ব্রাউজারে ক্যাশেড করা হয়, সার্ভারে লগইন করা হয় ইত্যাদি। আপনার যদি আউটবাউন্ড লিঙ্ক থাকে তবে ব্যক্তিগত URL অন্য সাইটে রেফারার শিরোনামে প্রদর্শিত হতে পারে। (এটি আপনার কাঁধের উপরের দিকে তাকিয়ে লোকেরাও দেখতে পাবে))

যদি এটি ফাঁস হয়ে যায় (দুর্ঘটনাক্রমে বা ব্যবহারকারীর দ্বারা অযত্নের কারণে), এটি সর্বজনীন হয়ে উঠতে পারে এমনকি গুগল দ্বারাও সূচিকৃত হতে পারে, যা আক্রমণকারীকে সহজেই আপনার সাইটে সমস্ত ফাঁস হওয়া URL গুলি অনুসন্ধান করার অনুমতি দেয়!

এই কারণে, ব্যক্তিগত ইউআরএলগুলি সাধারণত পাসওয়ার্ড পুনরায় সেট করার মতো কেবল এক শট ক্রিয়াকলাপের জন্য ব্যবহৃত হয় এবং সাধারণত সেগুলি কেবল সীমিত সময়ের জন্য সক্রিয় থাকে।

তথ্য সুরক্ষা সম্পর্কিত একটি থ্রেড আছে: র্যান্ডম ইউআরএলগুলি কি প্রোফাইল ফটোগুলি সুরক্ষিত করার নিরাপদ উপায় ? - একটি উত্তর এই গল্পটি শেয়ার করে: ড্রপবক্স গুগলে ট্যাক্স রিটার্ন শেষ হওয়ার পরে পুরানো ভাগ করা লিঙ্কগুলি অক্ষম করে । সুতরাং এটি কেবল একটি তাত্ত্বিক ঝুঁকি নয়।

JacquesB
সূত্র
7
মাইনর কুইবল, তবে "সাধারণত কেবলমাত্র এক শট ক্রিয়াকলাপের জন্য ব্যবহৃত হয়" এটি একটি ওভার স্টেটমেন্ট বলে মনে হয় যে ড্রপবক্স (এবং সম্ভবত অন্যান্য মেঘলা পরিষেবা) ফাইলগুলিতে অ্যাক্সেসকে "সুরক্ষা" দিতে ব্যবহার করছে।
স্টিভ জেসপ
4
আমি যুক্ত করব যে ব্যবহারকারীদের তাদের পাসওয়ার্ডগুলি সুরক্ষিত করতে, তবে তাদের ইউআরএলগুলি সুরক্ষিত করার জন্য সীমিত সাফল্যের সাথে শেখানো হয়।
স্বাভিল
1
আপনার যোগ করা উচিত, প্রাইভেট ইউআরএল একটি প্যারামিটার ব্যবহার করে অনেক প্রযুক্তিগত উদ্বেগ প্রশমিত করা যায় তাই xzy.com/myDoc?auth=8502375 এবং প্রমাণীকরণ চেক আউট হওয়ার পরে একটি স্বয়ংক্রিয় পুনর্নির্দেশ একটি প্লেইন url এ। - তবে এটি সমস্ত সম্ভাব্য সমস্যার সমাধান করতে পারে না
ফ্যালকো
3
টিএল; ডিআর - কোনও গোপন ইউআরএল বলে কিছুই নেই। এমন একটি বর্তমান আক্রমণ রয়েছে যা আপনি সাধারণত HTTPS- র মাধ্যমে ইউআরএল প্রেরণ করলেও ওয়াইফাই হটস্পটগুলিতে দূষিত অভিনেতার কাছে ইউআরএল উন্মুক্ত করে। আক্রমণটি ওয়েব প্রক্সি অটোডিসকোভারি (ডাব্লুপিএডি) কে অপব্যবহার করে, আপনার ব্রাউজারটিকে আক্রমণকারীকে আপনার সমস্ত URL গুলি প্রেরণে বাধ্য করে। দেখুন (উদাঃ) আর্স্টেচনিকা.com
হ্যারাল্ড
5
@ জ্যাক্কসবি ইউআরএল এর টুকরা অংশে ব্যক্তিগত অংশটি স্থাপন করে (যেমন "#" এর পরে যেমন স্ট্যাক এক্সচেঞ্জ তার Oauth প্রমাণীকরণের প্রতিক্রিয়াগুলির জন্য করে) এর দ্বারা চিহ্নিত ঝুঁকিগুলির কিছু নয়? উদাহরণস্বরূপ, রেফারার শিরোনামটিকে খণ্ডটি অন্তর্ভুক্ত করার অনুমতি নেই
জেসন সি
48

বিঃদ্রঃ:

প্রচুর লোক প্রমাণীকরণের সাথে একটি "ব্যক্তিগত" URL টি বিভ্রান্ত করছে বলে মনে হচ্ছে। এছাড়াও, কিছু বিভ্রান্তি আছে বলে মনে হয় যে বিশ্বস্ত সত্তার মাধ্যমে লিঙ্কটি প্রেরণ করা দ্বি-গুণক প্রমাণীকরণের চেষ্টা। স্পষ্টতই, আমরা একটি সর্বজনীনভাবে অ্যাক্সেসযোগ্য সংস্থান সম্পর্কে কথা বলছি, তবে এটি অনুমান করা যথেষ্ট কঠিন।

একটি ব্যক্তিগত ইউআরএল ব্যবহার করার সময়, আপনাকে সর্বদা ধারণা করা উচিত যে এটি আপস করা যেতে পারে - আপনার এমন একটি ইউআরএল ডিজাইন করা উচিত যাতে এটি আপস করা হলেও, উত্স আক্রমণকারীটির কাছে তথ্য ফাঁস না করে।

ব্যক্তিগত / ইউআরএলগুলি অনুমান করা শক্ত তা পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণের সমতুল্য নয়। প্রকৃতির দ্বারা, ব্যক্তিগত ইউআরএলগুলি মোটেও ব্যক্তিগত নয় - এগুলি সর্বজনীনভাবে অ্যাক্সেসযোগ্য সংস্থান। আমি মনে করি "ব্যক্তিগত" ইউআরএল শব্দটি একটি মিসনোমার, বরং তারা "অস্পষ্ট" ইউআরএল।

কিছু নির্দিষ্ট ক্ষেত্রে রয়েছে যেখানে "ব্যক্তিগত" ইউআরএল ব্যবহার করা গ্রহণযোগ্য, তবে তারা পাসওয়ার্ড প্রমাণীকরণ বা কী-ভিত্তিক প্রমাণীকরণের মতো traditionalতিহ্যগত প্রমাণীকরণ পদ্ধতির চেয়ে স্বভাবগতভাবে কম সুরক্ষিত।

আমি সাধারণত "ব্যক্তিগত" ইউআরএল ব্যবহার করেছি এমন কয়েকটি স্থান হ'ল:

  1. ইমেলগুলি পাসওয়ার্ড পুনরায় সেট করুন
  2. শংসাপত্র জেনারেশন ইমেল
  3. অ্যাকাউন্ট / ইমেল নিশ্চিতকরণ ইমেল
  4. কেনা সামগ্রীর বিতরণ (ebooks, ইত্যাদি)
  5. অন্যান্য বিবিধ জিনিস যেমন ফ্লাইট চেক-ইন, প্রিন্ট বোর্ডিং পাস, প্রথাগত প্রমাণীকরণের পাশাপাশি ব্যক্তিগত ইউআরএল ব্যবহার করুন

এখানে সাধারণতা হ'ল এলোমেলো URL গুলি সাধারণত এক-শট ক্রিয়াকলাপের জন্য ভাল for এছাড়াও, traditionalতিহ্যবাহী প্রমাণীকরণ এবং এলোমেলো ইউআরএলগুলি পারস্পরিক একচেটিয়া নয় - প্রকৃতপক্ষে, সংস্থান সরবরাহ করার সময় এগুলি একে অপরের সাথে একত্রে অতিরিক্ত সুরক্ষা সরবরাহ করতে ব্যবহৃত হতে পারে।

যেমন রবার্ট হার্ভে উল্লেখ করেছেন, নিরাপদে র্যান্ডম / প্রাইভেট ইউআরএল ব্যবহারের একমাত্র উপায় হ'ল পৃষ্ঠাটি গতিশীলভাবে উত্পন্ন করা এবং ইউআরএলকে এমনভাবে ইউআরএল জমা দেওয়া যাতে ব্যবহারকারীকে আধা-প্রমাণীকরণ হিসাবে বিবেচনা করা যায়। এটি ইমেল, এসএমএস ইত্যাদি হতে পারে

এলোমেলোভাবে উত্পাদিত / প্রাইভেট ইউআরএলটিতে সাধারণত কয়েকটি বৈশিষ্ট্য থাকে:

  1. এটি একটি যুক্তিসঙ্গত সময়ের পরে সমাপ্ত হওয়া উচিত
  2. এটি একটি একক ব্যবহারের ইউআরএল হওয়া উচিত: IE এটি প্রথমবার অ্যাক্সেস করার পরে শেষ হওয়া উচিত।
  3. এটি ব্যবহারকারীর সুরক্ষিতভাবে ব্যবহারকারীর প্রমাণীকরণের জন্য অন্য কোনও সত্তার কাছে এটির ব্যবহারকারীর প্রমাণীকরণকে স্থগিত করা উচিত। (ইমেল বা এসএমএস ইত্যাদির মাধ্যমে লিঙ্কটি প্রেরণ করে)
  4. একটি আধুনিক কম্পিউটারের জন্য মেয়াদ শেষ হওয়ার পূর্ববর্তী সময়কালে URL টি জোর করে ফেলা অসম্ভব হওয়া উচিত - হয় উত্সটিকে উদ্ভাসিত করে এমন API- কে সীমাবদ্ধ করে বা পর্যাপ্ত এনট্রপির সাথে একটি url এন্ডপয়েন্ট তৈরি করে যেমন এটি অনুমান করা যায় না।
  5. এটি ব্যবহারকারীর সম্পর্কে তথ্য ফাঁস করা উচিত নয়। আইই: পৃষ্ঠাটি যদি কোনও পাসওয়ার্ড পুনরায় সেট করতে হয়: পৃষ্ঠাটি অনুরোধকারীদের অ্যাকাউন্টের তথ্য প্রদর্শন করা উচিত নয়। যদি অ্যালিস কোনও পাসওয়ার্ড পুনরায় সেট করার লিঙ্কের জন্য অনুরোধ করে এবং বব কোনওভাবে ইউআরএল অনুমান করে তবে বব কার পাসওয়ার্ডটি পুনরায় সেট করছে তা জানার কোনও উপায় থাকা উচিত নয়।
  6. যদি এটি ব্যবহারকারীর সম্পর্কে তথ্য ফাঁস করে তবে এটি traditionalতিহ্যবাহী প্রমাণীকরণের শীর্ষে ব্যবহার করা উচিত, উদাহরণস্বরূপ কোনও পৃষ্ঠা কোনও ব্যবহারকারী যদি তাদের কুকি সেট থাকে বা তাদের সেশন_আইডিটি বৈধ থাকে তবে প্রমাণীকৃত হিসাবে বিবেচনা করতে পারে।

বিভিন্ন সংস্থার বিভিন্ন স্তরের সুরক্ষা প্রয়োজন। আপনি যদি কিছু বন্ধুদের সাথে কোনও গোপন রেসিপি ভাগ করতে চান তবে উদাহরণস্বরূপ, এগুলির সাথে ভাগ করে নেওয়ার জন্য কোনও এলোমেলো / ব্যক্তিগত URL ব্যবহার করা গ্রহণযোগ্য হবে। তবে, যদি এই সংস্থানটি কারও পরিচয় চুরি করতে বা অন্যান্য পরিষেবা সরবরাহকারীদের সাথে তাদের অ্যাকাউন্টে আপস করার জন্য ব্যবহার করা যেতে পারে তবে আপনি সম্ভবত সেই সংস্থানটিতে অ্যাক্সেস সীমাবদ্ধ করার বিষয়ে আরও অনেক বেশি যত্ন নেবেন।

চার্লস অ্যাডিস
সূত্র
4
যদি আমি আমার পণ্য বিকাশকারী দলের সাথে কোকের গোপন রেসিপিটি ভাগ করতে চাইতাম তবে এর জন্য কিছুটা আলাদা প্রয়োজন হবে যদি আমি আশেপাশের বারবিকিউ পার্টির সময় প্রতিবেশীদের পরিবেশন করা আলুর সালাদের রেসিপিটি ভাগ করতে চাইতাম। আবার, প্রসঙ্গ। :-)
সিভিএন
7
@ মাইকেলKjörling আমি নিশ্চিত না যে কেউ আমার পোস্ট থেকে কীভাবে আলাদা হবে er বেশ পরিষ্কারভাবে আমি বলেছি যে বিভিন্ন সংস্থার কাছে বিভিন্ন স্তরের প্রমাণীকরণের প্রয়োজন হয়। দাদুর কুকিগুলির রেসিপির চেয়ে কোকের রেসিপিটি অনেক বেশি মূল্যবান।
চার্লস অ্যাডিস
9
@ চার্লসএডিস স্পষ্টতই আপনি আমার দাদির কুকিজের স্বাদ গ্রহণ করেন নি!
ব্রায়ান
1
আমি মনে করি, যদিও আমি ভুল হতে পারি, @ মাইকেল যে গুপ্ত ইউআরএল থাকা উচিত সেই বৈশিষ্ট্যগুলির 5-পয়েন্টের বিবরণটি ইতিমধ্যে বন্ধুদের সাথে একটি গোপন রেসিপি ভাগ করে নেওয়ার জন্য অতিমাত্রায় ছাড়িয়ে গেছে। প্রতিটি এক একক-ব্যবহার মেকিং (এবং একটি পৃথক বন্ধু প্রতি যারা রেসিপি ব্যবহারের URL টি প্রয়োজন) বিশেষ করে তুচ্ছ সুবিধার জন্য ঝগড়া অনেকটা মনে হয়, বিশেষ করে যদি সেখানে এছাড়াও একটি মেয়াদ শেষ হওয়ার সময়। আমি আপনার উত্তরটি বোঝার অর্থটি পড়ি, "এটি একটি ব্যক্তিগত ইউআরএল ব্যবহার করা গ্রহণযোগ্য, তবে ব্যক্তিগত ইউআরএলগুলির এই 5 টি বৈশিষ্ট্য থাকা উচিত", এবং আইএমও যা কিছুটা ভুল।
স্টিভ জেসপ
1
@ বেঞ্জামিনহডসন আইটেম # 5 => এর সঠিক কারণ হ'ল লিঙ্ক / ইউআরএলটি যদি ভুল হাতে চলে যায় তবে এটির অনুরোধকারী ব্যবহারকারী সম্পর্কে কোনও তথ্য ফাঁস করা উচিত নয়।
চার্লস অ্যাডিস
8

বেশ কয়েকটি প্রমাণীকরণের স্কিমগুলি প্রমাণ করে যে আপনি কোনও গোপনীয়তা জানেন bo আপনি কোনও গোপন পাসওয়ার্ড, বা একটি গোপন URL বা জানেন কিনা তা প্রমাণ করে আপনি কিছু পরিষেবাতে নিজেকে প্রমাণীকরণ করেন বা ...

আরও কিছু উন্নত প্রোটোকল (উদাঃ, আউট, কার্বেরোস, ...) আপনাকে গোপনটি সত্যই প্রেরণ না করে প্রমাণ করতে সক্ষম করে। এটি গুরুত্বপূর্ণ, কারণ এটি অনুমান করার পাশাপাশি "অনর্থক" গোপনীয়তা অর্জনের আরও অনেক উপায় রয়েছে।

আমি নিজের মতো একই ইন্টারনেট ক্যাফেতে বসে থাকতে পারি, যখন আপনি আপনার "অদম্য" ইউআরএল টাইপ করেন তখন আপনার ওয়াইফাই সংযোগের দিকে নজর রাখে। এই মুহুর্তে, আপনি যদি এসএসএল ব্যবহার না করছিলেন বা আমি যদি আপনার এসএসএল প্রয়োগের ক্ষেত্রে সর্বশেষ নতুন বাগটি ব্যবহার করতে পারি তবে আমিও আপনার গোপনীয়তাটি জানতে পারি।

সলোমন আস্তে
সূত্র
1
ন্যায়বিচারের জন্য, এটি প্রমাণীকরণ বা কোনও যোগাযোগের ক্ষেত্রেও সত্য holds
অ্যান্ডি
"আপনার ওয়াইফাই সংযোগের প্রতি শ্রদ্ধা" যে কোনও বিষয়ে কাজ করে: ইউআরএল, সিএসআরএফ সুরক্ষিত <form>, জাভাস্ক্রিপ্ট সামরিক গ্রেড এনক্রিপ্টড ডেটা (সম্ভবত সক্রিয় স্নিফিংয়ের প্রয়োজন হবে)। এটি ঠিক করা সহজ: এইচটিটিপিএস ব্যবহার করুন।
গুস্তাভো রডরিগস
@ গুস্তাভোরডরিগস প্রথমত, যদি শ্রুতিমধুরতা সত্যিই "যে কোনও কিছুর উপরেই কাজ করে ", তবে এটি এইচটিটিপিএস-এ কাজ করবে। অন্যথায়, "কিছু" মানে কি? অথবা, এইচটিটিপিএসে এমন কোন যাদু আপনার মনে হয় যা এটিকে অন্য সমস্ত কিছুর ?র্ধ্বে রাখে?
সোলায়মান ধীরে ধীরে
2
... কিন্তু হল জাদু যে আড়িপাতকদের বন্ধ টি ওয়ার্ড: এটা পাবলিক-কি ক্রিপ্টোগ্রাফি আছে। এখানে একটি সাধারণ উদাহরণ: একটি পরিষেবা আমাকে একটি এলোমেলো নম্বর এবং একটি টাইমস্ট্যাম্প সহ একটি চ্যালেঞ্জ প্রেরণ করে । আমি আমার ব্যক্তিগত কী দিয়ে চ্যালেঞ্জটি স্বাক্ষর করছি এবং এটিকে ফিরিয়ে দেব। যদি তারা আমার রেজিস্টার্ড সার্বজনীন কী দিয়ে আমার প্রতিক্রিয়াটিকে বৈধতা দিতে পারে, তবে এটি প্রমাণ করে যে আমি গোপনীয়তাটি জানি (গোপনীয়তাটি আমার ব্যক্তিগত কী), তবে আমি এটি কোনও সম্ভাব্য শ্রবণশক্তি দ্বারা কখনও প্রকাশ না করেই প্রমাণ করেছি। এটি শ্রবণশক্তিটিকে আমার প্রতিক্রিয়া পুনরায় খেলতে সহায়তা করবে না, কারণ পরিষেবাটি কখনও একই চ্যালেঞ্জটি দু'বার প্রেরণ করবে না।
সলোমন আস্তে
এইচটিটিপিএস (এটি, এসএসএল এর উপরে এইচটিটিপি) সার্বজনীন-কী ক্রিপ্টো ব্যবহার করে, তবে এফওয়াইআই, এসএসএলের সর্বাধিক জনপ্রিয় বাস্তবায়নগুলিতে এমন একটি বাগের ইতিহাস রয়েছে যা ক্রিপ্টোগ্রাফি সত্ত্বেও শ্রুতিমধুদের ভাঙতে দেয়। নতুন বাগ (ওরফে, "শোষণ") প্রতিবছর দু'বার তিনবার আবিষ্কার হয়েছে বলে মনে হয় এবং এসএসএল ব্যবহার করা সমস্ত পণ্যাদির সমস্ত বিকাশকারীকে সর্বশেষ শোষণ না হওয়া অবধি চুলকে আগুন দিয়ে চালিয়ে যেতে হয়। (আমি কীভাবে জানি আমাকে জিজ্ঞাসা করবেন না!)
সলোমন
3

ইতিমধ্যে এই থ্রেডে প্রচুর ভাল উত্তর, তবে সরাসরি প্রশ্নের সমাধানের জন্য:

এই সম্পদ অ্যাক্সেস করতে চায় এমন একজন অপরাধীর দৃষ্টিকোণ থেকে, এই পদ্ধতির সমতুল্য? তা না হলে এগুলি কী আলাদা করে তোলে?

আমাকে একটি সংজ্ঞা স্থাপন করুন। "প্রমাণীকরণ" হ'ল পরিচয়ের দাবি প্রমাণ করার জন্য শংসাপত্র সরবরাহ করে। অ্যাক্সেস নিয়ন্ত্রণ সাধারণত ব্যবহারকারীর সনাক্তকরণের উপর ভিত্তি করে।

আপনার গোপন URL টি কোনও নির্দিষ্ট ব্যবহারকারীর কাছে আবদ্ধ নয়। অন্যরা যেমন উল্লেখ করেছে, এটি প্রক্সিটির লগ ফাইল, বা গুগল দ্বারা সূচিত হওয়া অনুসন্ধান অনুরোধ বা এটি ফাঁস হতে পারে এমন আরও অনেক উপায়ে শেষ হতে পারে।

অন্যদিকে, একটি পাসওয়ার্ড একটি অনন্য ব্যবহারকারীর অ্যাকাউন্টে আবদ্ধ। আপনার এটি পুনরায় সেট করার ক্ষমতা রয়েছে বা কেবল এটি ব্যবহারকারীর বাড়ির অবস্থান, বা পরিচিত আইপি ঠিকানা, বা অন্য কোনও নিয়ন্ত্রণের সংখ্যক রূপ ব্যবহার করার অনুমতি দেয়।

একটি ব্যবহারকারীর নাম / পাসওয়ার্ড আপনাকে অ্যাক্সেসের অনেক বেশি দানাদার নিয়ন্ত্রণ দেয়।

অ্যাক্সেস নিয়ন্ত্রণ কোনও পরিচিতি (বিষয়) কোনও সংস্থার (অবজেক্ট) অ্যাক্সেসের অনুমতি দেয়। আপনার ইউআরএল উদাহরণে পরিচয়টি হ'ল "যে কোনও সময় যে কোনও ভাবেই ইউআরএল পান"।

পারলে ব্যবহারকারীর নাম / পাসওয়ার্ড দিয়ে যান। ইউআরএলগুলি সময়ের সাথে সাথে সমস্ত ধরণের অপ্রত্যাশিত উপায়ে ফাঁস হয়।

JesseM
সূত্র
1

একটি গোপন URL টি গোপন পাসওয়ার্ডের মতোই সুরক্ষিত। তবে, পাসওয়ার্ডগুলি ইউআরএলগুলির চেয়ে গোপন রাখা সহজ, কারণ প্রত্যেকে এবং তাদের প্রোগ্রামগুলি জানে যে পাসওয়ার্ডগুলি অবশ্যই গোপন রাখা উচিত।

উদাহরণস্বরূপ, আপনার ব্রাউজারটি স্ক্রিনে কোনও পাসওয়ার্ড প্রদর্শন করবে না, কেবল আপনার অনুমতি নিয়ে পাসওয়ার্ড সংরক্ষণ করবে এবং সেই পাসওয়ার্ডের সঞ্চয়স্থান (যেমন কোনও মাস্টার পাসওয়ার্ড দ্বারা এনক্রিপ্ট করা স্টোরেজ আনলক করা) রক্ষা করার প্রস্তাব দেয়। বিপরীতে, এটি সর্বদা স্ক্রিনে ইউআরএল দেখায়, সম্ভবত রেফারার শিরোনামের মাধ্যমে এগুলি ফাঁস করে দিতে পারে এবং কোনও সুরক্ষা ছাড়াই এগুলি স্বয়ংক্রিয়ভাবে আপনার ব্রাউজিং ইতিহাসে সংরক্ষণ করতে পারে।

তেমনি, HTTP প্রক্সিগুলি সাধারণত পাসওয়ার্ডগুলিতে লগ করে না, যখন ইউআরএলগুলি সাধারণত লগ হয়।

প্রমাণীকরণের জন্য ইউআরএলগুলি ব্যবহার করার অর্থ হ'ল ইউআরএলগুলি ভাগ করা প্রমাণীকরণকে ভাগ করে দেয় যা স্বতন্ত্রভাবে অ্যাক্সেস প্রত্যাহার করতে (বা রেকর্ড) অ্যাক্সেস করে তোলে।

এবং অবশ্যই, গোপন ইউআরএলগুলি গোপন পাসওয়ার্ডগুলির সমস্ত দুর্বলতার অধিকারী। বিশেষত, প্রমাণীকরণের জন্য একটি পাসওয়ার্ড ব্যবহার করা সার্ভারে এবং আপনার যোগাযোগ পড়তে সক্ষম যে কেউ সেই পাসওয়ার্ডটি প্রকাশ করবে will

meriton
সূত্র
3
এই উত্তরটি অনেক অনুমান করে যা ভুল। আপনি যদি এইচটিটিপিএস সহ কোনও সাইটে লগ ইন করেন এবং আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড টাইপ করেন তবে এর মধ্যে থাকা হপগুলি আপনার পাসওয়ার্ডটি জানতে পারবে না।
পিটার বি
"আপনার যোগাযোগকে বাধা দিন" দ্বারা আমি এর সামগ্রীগুলি পুনর্গঠন করার দক্ষতা বোঝাই। এটি এইচটিটিপিএস দ্বারা বাধা দেওয়া হতে পারে। বিশেষত, একটি একক খারাপ শংসাপত্রকে বিশ্বাস করা (উদাহরণস্বরূপ কিছু কর্পোরেট HTTPS প্রক্সি যা সমস্ত ইনস্টলেশনগুলির জন্য একই প্রাইভেট কী ব্যবহার করে) দ্বারা আক্রমণকারীকে এইচটিটিপিএস ট্র্যাফিকের মধ্যবর্তী স্থানের অনুমতি দেয়।
মেরিটন
2
তবে ইউআরএলটির গোপনীয়তা এনকোড করে আপনি মূলত এইচটিটিপিএসকে সম্পূর্ণ অকেজো করে তুলবেন। ক্লায়েন্ট এবং সার্ভারের মধ্যে প্রতিটি হপের গোপনীয়তা রয়েছে। কোনও আপোস শংসাপত্রের প্রয়োজন নেই।
পিটার বি
4
ছাইপাঁশ; এইচটিটিপিএসে, ইউআরএল কেবল এনক্রিপ্ট করা প্রবাহে প্রেরণ করা হয়। আপনি অবশ্যই এটিকে ডোমেন বা আইপি দিয়ে বিভ্রান্ত করবেন যা যথাক্রমে ডিএনএস লুক এবং আইপি শিরোলেখ ক্ষেত্রগুলিতে দৃশ্যমান।
মেরিটন
1

অন্য কোনও আইটেম কোথাও লক্ষ্য করা যায়নি 'অনুমান' থ্রোল্টল করছে। বেশিরভাগ পাসওয়ার্ড প্রমাণীকরণ সিস্টেমগুলির জন্য, আরও প্রমাণীকরণের প্রচেষ্টা লক আউট হওয়া বা সীমাবদ্ধ হওয়ার আগে আপনি ব্যবহারকারীর জন্য একটি পাসওয়ার্ড অনুমান করার ক্ষেত্রে সীমিত সংখ্যক প্রচেষ্টা পান।

আপনি যখন আপনার ইউআরএল স্কিমের বিপরীতে 'অনুমান' দিয়ে অনুরূপ কিছু করতে পেরেছিলেন তবে তা প্রয়োগ করা কিছুটা কঠিন be যদি আপনার ইউআরএল প্রজন্মের একটি স্বীকৃত প্যাটার্ন থাকে, তবে আপনার 'এলোমেলো' ইউআরএল স্পেসের মাধ্যমে কাউকে তাদের পথে কাজ করা সেট আপ করা কঠিন হতে পারে।

ধান
সূত্র
0

এখানে আরও একটি দিক রয়েছে যা আমি এখনও উল্লেখ করে দেখিনি - ইউআরএল শর্টনার্স।

সাম্প্রতিক একটি প্রকাশনায় (এপ্রিল ২০১)) দাবি করা হয়েছিল যে ইউআরএল সংক্ষিপ্ততর পরিষেবাগুলি এলোমেলোভাবে উত্পাদিত "অনর্থ্য" URL গুলির দ্বারা সরবরাহিত বর্ধিত সুরক্ষাটিকে পুরোপুরি বাতিল করে দেয়। সংক্ষিপ্ততর পরিষেবাটির ইউআরএল স্থানটি আপনার এলোমেলোভাবে উত্পন্ন URL এর চেয়ে যথেষ্ট ছোট - এর অর্থ হ'ল সংক্ষিপ্ততর পরিষেবার সাথে ভাগ করা এই জাতীয় কোনও "সুরক্ষিত" URL অনুমানের চেয়ে সহজ ফ্যাশনে অনুমান করা যায়।

উদাহরণস্বরূপ - ধরে নেওয়া যাক আপনার এলোমেলো URL টি 128 বিট দীর্ঘ (অর্থাত্ একটি গাইড)। এছাড়াও, ধরে নেওয়া যাক আপনার এলোমেলো নম্বর জেনারেটরটি সত্যিই শক্তিশালী এবং আপনি সেই বিটগুলি অভিন্ন উপায়ে তৈরি করেন। একটি 128 বিট নম্বর অনুমান করা খুব কঠিন এবং যথেষ্ট সময় নিতে পারে - আপনার URL টি কার্যকরভাবে 128 বিট কী সুরক্ষিত।

তারপরে, ধরে নেওয়া যাক কেউ এই ইউআরএলটি গুগল ইউআরএল সংক্ষিপ্তকরণে ভাগ করেছে। আজ পরিষেবাটি 10 ​​অক্ষর দীর্ঘ আইডি নির্ধারণ করে যা অক্ষর এবং সংখ্যার সমন্বয়ে গঠিত। (26 + 10) ^ 10 ~ = 3.6 * 10 ^ 15 <2 ^ 52 - সুতরাং আমরা কার্যকরভাবে কার্যকর শক্তিটি 128 বিট থেকে 52 বিটের মধ্যে অর্ধেক করেছি।

এই সত্যটি যুক্ত করুন যে অন্যান্য বিবেচনার কারণে জেনারেটরগুলি পুরো স্থানটি ব্যবহার করে না এবং আপনি কার্যকর আক্রমণটি মাউন্ট করতে পারেন যা পাশ্ব চ্যানেলগুলির সাথে ব্রুট ফোর্সের সংমিশ্রণ করে (সম্ভবত সম্ভবত প্রাক-বরাদ্দ এলোমেলো URL টি বাফারগুলি))

মূল নিবন্ধ: http://arxiv.org/pdf/1604.02734v1.pdf নিবন্ধটির
সংক্ষিপ্তসার সহ একটি ব্লগ পোস্ট (লেখকের দ্বারা): https://freedom-to-tinker.com/blog/vitaly/gone-in- ছয় অক্ষর-স্বল্প URL গুলি-বিবেচিত-ক্ষতিকর-জন্য-মেঘ-পরিষেবা /

রণ বিরন
সূত্র
2
হ্যাঁ, তবে একজন আশা করবেন সংবেদনশীল ডেটার জন্য এই ধরনের পরিষেবা ব্যবহার করা যে কেউ সংক্ষিপ্ততর পরিষেবা সহ কোথাও ইউআরএল পোস্ট করার চেয়ে ভাল জানত । এটি Gah! My password/private key is too long and complex. I know! I'll just write it in a text document and put that in a zip file with an easier password.উভয়ই স্বচ্ছ ব্যর্থতা বলা থেকে আলাদা নয় , যা একজন আশা করে যে লোকেরা করণীয়ে যথেষ্ট বোকামি করবে না against তবে হ্যাঁ, বাস্তবে, দুঃখজনকভাবে আপনার সতর্কতা সম্ভবত প্রয়োজন;)
আন্ডারস্কোর_ড
@ মাউন্ডস_আর হ্যাঁ - আপনি যদি এই বিষয়টিকে মন্তব্য করার জন্য যথেষ্ট বিশদে জানেন তবে এটি কোনও ব্লগ-যোগ্য পয়েন্ট নয়।
রবার্ট গ্রান্ট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.