如果我在我的根目录中放置一个文件夹并给它一个不容易猜到的名字,它是否有效地隐藏了?
www.my_domain.com/some_path
是
some_path equals something like "1Ki9u"
我想将其用作一种快速登录方式。 在文件夹中,1Ki9u会有一些php让我登录到我的Web应用程序。
这不是安全性。这与将密码从password更改为password1没有什么不同。只需蛮力即可找到您的URL(由于这个确切原因,有几个程序可以暴力扫描服务器以查找404错误)。
通过真正的安全登录使用真正的安全性。
如果您非常懒惰,请使用像长.htpasswd用户名和密码这样简单的东西。
你想做的是通过默默无闻来确保安全。
通过正确的服务器配置,可以非常有效地隐藏它。但是,我认为这不是一个好主意:
- 在大多数情况下,IP地址阻止=>可靠,尽管它很容易被欺骗。
- 浏览器历史记录。无论谁和你坐在同一台电脑上,都可以找到你的隐藏URL。或者如果您需要从朋友/同事PC访问隐藏数据?
- 如果足够长,它就不能真正被暴力破解,特别是因为很少有人会在随机网站上搜索奇怪的 URL。
- 键盘记录器/特洛伊木马/病毒并不少见。当然,这对于常规登录来说也是一个安全风险,但登录脚本可能更安全一些。
- 用户友好性。我实际上没有看到记住 10+ 个字符的文件夹名称或密码的难易程度有什么区别(我假设您将使用电子邮件地址登录,您不会真正忘记)。此外,如果您忘记了文件夹名称,则没有简单的方法来恢复它(好吧,FTP登录,但这会破坏目的)。使用登录表单,您可以使用重置密码。
总的来说,如果你足够小心,你的隐藏URL不太可能被发现,但从我的角度来看,这样做没有真正的好处。另外,您将不像使用常规登录脚本那样安全。
如果你真的想这样做,只有在你没有非常敏感的信息时才这样做。我的意思是,如果有人掌握了您一直在从事的个人项目,这可能不是悲剧,但是掌握您拥有的所有FTP/cPanel密码的文本文件可能会受到非常严重的伤害。
这
被称为"通过默默无闻获得安全"。 简短的回答是否定的。 这甚至不是远程安全的。
当你从不链接到它并保持你的书签和历史记录的私密性时,没有人知道它的存在。目录名称越长,有人猜测(或暴力破解)URL的机会就越小。
尽管仅使用URL登录根本不安全。即使使用登录表单,您也不是完全安全的,因为它没有受到暴力保护(尽管超过 12 个字符的非字典密码非常安全)。
如果您想真正安全,请使用双因素授权,当输入的密码正确时,您将登录代码通过电子邮件发送到指定的电子邮件地址。然后使用该代码登录。(示例)