偶尔有时候,我需要分享一些尚未公开的“私人”数据(即audio讲座的未经编辑的草稿),以便在被公布之前由授权人员进行审查。 通常我通过给文件一个模糊的名字(即新生成的GUID)并通过电子邮件发送链接到IM来做到这一点。 当然,没有链接到该网站上其他页面的文件。 这实际上是安全的还是有一些我忽略的漏洞? 这并不是说有任何核秘密被传递,但我仍然想确保我不会错过任何东西。
如果你分享的信息不是秘密的 ,那么“不是真正的公共消费”,特别是暂时的,我不觉得这里有很大的风险。 要注意的一件事是确保目录索引无法将蜘蛛或人引向文件。
例如,如果将文件存储在/foo/bar/baz/wombat/GUID.pdf ,如果访问/foo会提供链接到/foo/bar的dirindex,并且/foo/bar会提供链接到/foo/bar/baz的dirindex /foo/bar/baz ,等等… /foo/bar/baz ,对于某个人来说玩起来容易很多,然后get /foo跟着链接,而不是猜测所有这些目录组件。
closures文件所在目录中的DirIndex文件的.htaccess文件应该做到这一点(或者把index.html放在那里说“Go Away”)。
通过默默无闻的安全性确实没有提供任何安全性。
如果你不想让文件公开,那么我不能强调这一点, 不要让它们公开。 故事结局。
请记住,只需要一个人链接到互联网上的某个页面,以便谷歌抓取该页面,随后caching该页面,使所有人都可以使用内容(现在可以在Google中search),甚至在删除该页面之后…
在学术界 ,攻击者不断地试图聆听爱丽丝和鲍勃之间的对话,这对其他人会列举的无数原因是不安全的。
在现实世界中,它是一个组合概率:
不要忘记,泄漏的文件可能会永远留在身边。 你想在10年后面咬这个东西吗? 20岁?
这是不安全的,因为URL将以纯文本的forms通过networking。 攻击者可以使用Ethereal这样的工具来嗅探这些URL,然后自己访问它们。 也许添加一个htaccess / htpasswd到“安全区域”或等效,如果不使用Apache?