Ho un sito privato (= I am the only user) in example.com/private/
. Nient'altro è pubblicato su questo host (è il mio dominio).
Non voglio che nessuno sappia che c'è qualcosa in example.com
, specialmente non nel mio sito privato.
Ora diciamo che Alice "indovina" l'URL e visita example.com/private/
. Ovviamente ho protetto il sito richiedendo un login, ma ancora, non voglio che Alice sappia che esiste un sito del genere, e non voglio che lei provi il login ecc.
Mi chiedo se il seguente metodo potrebbe aiutarmi qui:
Con l'add-on di Firefox RefControl posso impostare un Referer intestazione da utilizzare solo per le richieste a un determinato host.
Ho impostato il Referente su (ad esempio) 9b2389Bqa0-ub712/bauUU-UZsi12jkna10712
per qualsiasi richiesta su example.com
.
Ora controllo con .htaccess
( non so come sia possibile esattamente, ma ho sentito che dovrebbe essere vedi domanda sulla revisione del codice SE ) per il referente del visitatore:
- se è
9b2389Bqa0-ub712/bauUU-UZsi12jkna10712
, non fare nulla di speciale (= l'accesso al sito è possibile) - se è qualcos'altro, invia l'errore HTTP 404
Credo che invece di 404 potrebbe essere mostrato un sito falso, ma per il mio caso non voglio che nessuno veda una differenza tra /private
(che esiste) e /foobar
(che non esiste → 404).
Funzionerebbe? È possibile con .htaccess
? Questo metodo ha qualche difetto? Qualcosa che dovrei cambiare? Qualche metodo simile?
Aggiornamenti e amp; chiarimenti
- L'intero host utilizza HTTPS.
- Non ho bisogno di nascondere il fatto che è un server, voglio solo nascondere che ci sono contenuti serviti.
-
Grazie @ Adnan per mettere in gioco il termine "plausibile negabilità" → Voglio questo ( sul lato client)!
-
Alcuni hanno proposto di utilizzare un URL difficile da indovinare (ad esempio la stringa segreta aggiunta all'URL): mentre questo potrebbe certamente funzionare, penso che l'uso del metodo Referer abbia il vantaggio che non puoi rivelare casualmente il segreto (facilmente). Gli URL sono più visibili delle intestazioni HTTP: qualcuno guarda il tuo schermo, l'elenco dei segnalibri pubblicato per sbaglio (senza ricordare che l'URL segreto è incluso), la cronologia del browser, lo screenshot del desktop con la barra degli indirizzi del browser sullo sfondo, .... E così hai di nuovo il problema iniziale: come nascondere che esiste un sito quando Alice "indovina" (o qualunque altra cosa) l'URL.
-
Alcuni hanno proposto di utilizzare una pagina di accesso esterna (ancora migliore, locale). Mi piace quell'idea. In confronto al metodo Referer (se può essere implementato da
.htaccess
, che presumo sia possibile) ha lo svantaggio che forse dovresti adattare il codice / CMS del sito. -
Per discussioni su
.htaccess
, consulta la domanda sulla revisione del codice SE -
Come @ НЛО sottolinea, un'intestazione personalizzata sarebbe meglio. Sì lo penso anche io. Ma non ho ancora trovato un componente aggiuntivo per Firefox (vedi domanda su Super User ).