est-il acceptable d'utiliser des URL aléatoires au lieu de mots de passe? [fermé]

Est-il considéré comme "sûr" d'utiliser une URL construite à partir de caractères aléatoires comme celui-ci?

http://example.com/EU3uc654/Photos

Je voudrais mettre des fichiers / galeries d'images sur un serveur Web qui ne sont accessibles qu'à un petit groupe d'utilisateurs. Ma principale préoccupation est que les fichiers ne soient pas récupérés par les moteurs de recherche ou les utilisateurs expérimentés curieux qui fouinent mon site.

J'ai mis en place un fichier .htaccess, juste pour remarquer que cliquer sur des http://user:pass@url/liens ne fonctionne pas bien avec certains navigateurs / clients de messagerie, invitant des dialogues et des messages d'avertissement qui déroutent mes utilisateurs pas trop avertis par ordinateur.

Que ce soit "correct" ou non dépend de la sensibilité des images.

Si vous n'utilisez pas SSL, les URL, HTML et les images elles-mêmes seront mis en cache sur les ordinateurs de votre utilisateur. Cela pourrait fuir, mais je le considérerais peu probable.

Les barres d'outils du navigateur, en particulier celles créées par des sociétés qui exécutent des robots d'indexation, telles que Alexa et Netcraft, peuvent signaler les URL visitées à leurs sites parents, prêtes pour que le bot vienne explorer ultérieurement.

Une authentification appropriée telle que l'authentification HTTP ou une variable POST ne doit pas pouvoir être mise en cache de cette façon ni renvoyée à un site Web parent.

Une autre technique consiste à utiliser des URL uniques et de courte durée. De cette façon, même s'ils fuient, peu importe. Bien sûr, vous devez continuer à mettre à jour vos utilisateurs légitimes des nouvelles URL.

Non, pas vraiment, c'est juste une sécurité par l'obscurité qui n'est pas du tout une sécurité. Tout ce qui est directement accessible depuis Internet sans une certaine forme de protection réelle sera trouvé, indexé et mis en cache.

Ils seront enregistrés dans chaque proxy en cours de route. Vous serez à l'abri des utilisateurs et des moteurs de recherche curieux, à moins que quelqu'un ne publie le lien.

Et attention au caractère aléatoire de votre générateur bien sûr.

Je suppose que vous ne recherchez pas une sécurité ultra-élevée ici.

Une URL cryptée est pratique pour les téléchargements à usage unique mais n'offre aucune protection réelle. Vous devez être conscient que tous les robots n'honorent pas le fichier robots.txt, donc s'il y a un lien n'importe où dans votre site menant au dossier déguisé, il sera indexé par certains moteurs de recherche et une fois que cela commencera, il n'y aura plus de retour en arrière.

Je suggérerais d'utiliser un système d'authentification simple basé sur .htaccess à la place, ou en plus de ce que vous proposez.

Je voudrais ajouter une autre perspective, peut-être plus effrayante, sur les URL obscurcies comme cet exemple. Même si votre URL n'est pas partagée accidentellement, elle peut être soumise aux moteurs de recherche par:

• FAI d'un visiteur. Les visites HTTP sont collectées, dataminées et parfois même carrément vendues à des tiers par des FAI.
• Stockage cloud d'un visiteur. Il existe un certain nombre de services stockant gratuitement les signets et l'historique à synchroniser entre les installations de navigateur. À moins qu'ils ne précryptent les données comme le fait Mozilla, les mêmes pratiques d'exploration de données peuvent être impliquées.

YMMV.

Dans le passé, j'utilisais une méthode similaire pour permettre aux utilisateurs de créer des espaces de partage sur un système de gestion de documents. Le contenu partagé n'était pas top secret, le système ne devait donc pas être ultra sécurisé.

Je viens de faire en sorte que l'URL de chaque utilisateur contienne un horodatage d'expiration et un MD5 de son e-mail.

L'URL ressemblait donc à:

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

avec ce qui précède, si l'utilisateur a entré l'e-mail user@gmail.com avant le 30 juillet, il serait bon d'y aller.

Pas exactement une sécurité de niveau militaire mais a fait le travail.

Cela partage la même vulnérabilité que le stockage de sessionID dans l'URL. Quelqu'un peut accidentellement copier-coller le lien vers d'autres personnes, oublier de le censurer dans une capture d'écran ou laisser quelqu'un le rechercher, car il n'est pas marqué d'un astérisque comme les mots de passe.

De plus, si certains contenus sont protégés par mot de passe, en vous connectant, vous savez que c'est un secret. Si vous obtenez un lien, vous pouvez facilement l'oublier.

Une autre chose consiste à supprimer les privilèges des utilisateurs. Vous pouvez supprimer un utilisateur afin qu'il ne puisse plus se connecter, mais avec des liens, vous devrez tous les changer et envoyer à tous (sauf l'utilisateur supprimé) de nouvelles URL.

Je pense que ce n'est pas mal si ce ne sont que des images. Mais si ce sont des images que vous n'aimeriez vraiment, vraiment pas partager;) alors je vous suggère d'utiliser un mot aléatoire plus long, plus comme celui dave e présenté.

EDIT: Ajoutez? DO_NOT_SHARE_THIS_LINK à l'URL: http://example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-this-should-be-longer/Photos?DO_NOT_SHARE_THIS_LINK

C'est ce que fait par exemple Kongregate lors de l'intégration de jeux hébergés ailleurs (il met les informations d'identification d'authentification dans l'URL du cadre). BTW, Kongregate utilise également des liens d'accès invité pour les jeux non publiés, exactement comme vous le souhaitez.