Все ли URL-адреса доступны для обнаружения? Можно ли безопасно скрыть информацию в случайном URL-адресе?
Я давно об этом думал.
Допустим, у меня есть веб-приложение по адресу
www.example.com
Если у приложения n пользователей, может ли каждый войти в систему, просто используя URL-адрес?
Например. Чтобы пользователь 1 получил доступ к своей части приложения, он должен посетить
www.example.com/user/1
В этом случае схему URL легко угадать.
Но что, если об этом сложно догадаться? Например. Чтобы пользователь 1 получил доступ к своей части приложения, он должен посетить
www.example.com/user/[random string]
Можно ли обнаружить эти случайные URL-адреса?
Под случайным URL-адресом я подразумеваю URL-адрес, содержащий очень длинную строку случайных символов. Если бы кто-то использовал этот URL-адрес в качестве пароля, его было бы очень трудно угадать.
А во-вторых, более практический вопрос - Можно ли предположить, что никто другой не имеет доступа к своей части приложения?
Или еще один способ спросить: угадывание случайной строки - единственный способ получить доступ к чьей-либо части приложения?
Мотивация для разработки приложения таким образом заключается в том, что не требуется вход в систему / выход из системы.
Спасибо
Ответы 1
Даже если вы поместите случайную строку вместо идентификатора пользователя, та же проблема все равно останется. Если кто-то угадает или каким-то образом извлечет случайное число другого пользователя, он все равно сможет получить к нему доступ.
То, что вы пытаетесь сделать, называется безопасностью через безвестность. Это не лучший план, чтобы ваша общая безопасность была основана только на сокрытии или сокрытии только конфиденциальных данных.
Are these random URLs discover-able?
Может быть обнаружено поисковой системой? Это зависит от настроек вашего сайта. Доступно? Да.
Can one assume that no one else has access to their part of the application?
Я не уверен, что вы имели в виду, вам нужно уточнить эту часть.