So che questa domanda è un po 'sul lato di Opinion / Discussion, ma penso che ci sia una risposta dimostrabile.
Penso che la visione comune di "Security Through Obscurity" sia che la sicurezza resisterà solo fino a quando un hacker non può indovinare la via.
In ambienti in cui sono noti attacchi massicci o vettori di attacco comuni, questo è spesso molto più semplice di quanto molti credono.
Tuttavia, penso che un gran numero di persone non classifichi la richiesta di un nome utente / password combo come richiesta di una versione di "Sicurezza attraverso l'oscurità"
La mia domanda è questa:
Quale (sicurezza) differenza (se presente) c'è tra i seguenti due url per quanto riguarda la sicurezza (si prega di notare i caveat elencati di seguito):
URL prototipici:
- [schema crittografato / protocollo SSL]: // [utente]: [password] @ [dominio]
- [schema crittografato / protocollo SSL]: // [dominio] / [utente] [password]
Esempi:
Avvertenze:
- Supponiamo che a questi URL venga eseguito l'accesso da un client HTTP di basso livello, NON un browser Web. (ovvero il client non tiene un registro delle richieste ed è attendibile - lo so low-level!="trusted", ma mi piacerebbe considerare il caching del browser come una differenza in questa domanda).
- So che esistono metodi conosciuti per "prevedere" i GUID che potrebbero essere stati generati se si dispone di una conoscenza sufficiente della macchina sorgente del guid e del tempo (e probabilmente di altri fattori). Non so se è possibile estrarre queste informazioni da un guidatore di esempio. Supponiamo che i Guids non siano generalmente prevedibili.
- Anche se ho già tentato di risolvere questo problema con 1, vorrei essere chiaro: gli utenti umani non interagiscono mai direttamente con questi URL (o li vedono anche senza cercare in un'applicazione compilata)
Il secondo URL costituisce un esempio di Security Through Obscurity? O semplicemente meno sicuro a causa delle minori protezioni offerte dal client?