Un site Web qui n’est lié à aucun endroit n’est-il complètement caché?

Je souhaite créer une page Web que seuls moi et une autre personne peuvent consulter.

Je ne souhaite utiliser aucune authentification (nom d'utilisateur / mot de passe, certificats, etc.).

Ma question est la suivante: si je sers le site Web à partir de mon propre serveur Web et que je ne place pas le contenu dans le répertoire racine sur le port 80 (c'est-à-dire, mon siteweb.com/hidden), y a-t-il moyen que quelqu'un d'autre puisse trouve le? D'après ce que j'ai lu sur les robots Web, ils ne trouvent que des pages contenant des liens. Existe-t-il un autre vecteur d'attaque auquel je ne pense pas? Outre une recherche bruteforce (mywebsite.com/brute/force/this/path)?

webserver nginx web-crawler

— Fromagegraterr
source

Si cette personne avec laquelle vous souhaitez partager le site Web ne fait pas partie de votre réseau intranet, toute personne sur Internet peut le trouver.

— Ramhound

Je le fais tout le temps. Mon site Web principal, www.home.web, contient une collection de sous-répertoires, tels que www.home.web / private et www.home.web / media, qui ne sont référencés dans aucune des pages du site principal et sont accessibles uniquement aux utilisateurs suivants: les gens que je raconte sur les adresses. Une méthode de force brute pourrait les trouver, mais elle ne serait pas utilisée à moins qu'il y ait une raison de penser qu'elles étaient là. Ces répertoires cachés n’ont jamais été trouvés, mais s’ils existaient, je changerais simplement les noms des sous-répertoires. La principale vulnérabilité réside dans la surveillance du trafic sur mon site, auquel cas les adresses seraient visibles.

— AFH

@Ramhound comment est-il possible que quelqu'un d'autre puisse le trouver?

— Cheesegraterr

Il existe de nombreuses méthodes connues et inconnues de suivi des sites Web "cachés". Une méthode consiste à ajouter un navigateur, qui permet de voir à peu près tout ce que vous faites. Si vous ne voulez pas que les gens le trouvent, ne le mettez pas sur Internet non sécurisé.

— Keltari

Réponses:

Vous avez raison de dire que la principale méthode de découverte de page d'un index Web (comme Google) consiste à explorer des liens. Cependant, il existe d'autres méthodes de recherche de sites Web.

Par exemple, Google dispose de ses propres services DNS qui peuvent l'aider à découvrir de nouveaux sites de deux manières:

Si vous enregistrez votre domaine directement auprès de Google, ils seraient certainement au courant du nouveau site Web.
L'enregistrement du domaine nécessite la propagation publique, de sorte que Google recevra éventuellement la nouvelle entrée.

Évidemment, si vous hébergez également le site sur les serveurs d'un indexeur, celui-ci pourrait essayer d'analyser l'intégralité de votre site.

Mais il ne semble pas que vous fassiez l'une ou l'autre de ces choses. Si tout ce que vous essayez de protéger est la page / répertoire unique (plutôt que le domaine / serveur entier), vous ne l'hébergez pas sur les services d'un index, et vous n'enregistrez pas de domaine pour votre chemin caché, votre principal Le souci serait de vous assurer que l'indexation des annuaires n'est pas possible sur votre site.

Par exemple, avec Apache, vous pouvez y parvenir en incluant un fichier .htaccess dans votre répertoire racine avec Options -Indexesou en supprimant la Indexesdirective dans la configuration du site lui-même:

<Directory "/path/to/your/site">
    Options Indexes OtherOptions
</Directory>

devient

<Directory "/path/to/your/site">
    Options OtherOptions
</Directory>

Vous pouvez également vous assurer que vous avez au moins un fichier index.html d'espace réservé dans chaque dossier à desservir par le serveur, plutôt que l'index de répertoire.

— Siegen
source

Ajouter un sha256 comme nom de chemin, alors ça devrait aller. Gardez une trace sur les fichiers journaux.

— bbaassssiiee
source