Ho installato un wiki sul mio account di webhosting condiviso (usando Apache). Questo wiki è impostato su privato (nessun diritto di lettura / modifica / creazione per utenti non autorizzati) e io sono l'unico con un account.
Il wiki inserisce il titolo della pagina wiki nel percorso dell'URL, ad es. una pagina intitolata "Foobar" avrebbe l'URL example.com/wiki/Foobar
.
Voglio assicurarmi tre cose:
- nessuno potrà vedere il mio contenuto wiki
- nessuno sarà in grado di vedere se ho creato una determinata pagina wiki
- nessuno sarà in grado di vedere quali URL del wiki visiti
In altre parole: non solo le pagine contengono contenuti sensibili, anche il percorso dell'URL è sensibile .
Quando eseguo il logout e visito example.com/wiki/Foobar
(esistente) e example.com/wiki/FoobarNope
(inesistente) I (1.) non può vedere alcun contenuto e (2.) non c'è differenza nel messaggio di errore per l'esistente e la pagina inesistente.
Uso il componente aggiuntivo di Firefox RefControl per bloccare l'intestazione Referer
quando Faccio clic sui link alle pagine esterne.
Uso HTTPS per crittografare il contenuto e i percorsi URL (quindi se dovessi visitare il mio wiki da una rete non affidabile, nessuno sniffer dovrebbe essere in grado di vedere quali pagine del wiki visito, giusto?).
Ora l'unica cosa di cui non sono sicuro è: Che cosa possono vedere gli altri clienti sullo stesso host condiviso?
Ogni cliente ha accesso SSH. L'installazione del software è consentita (purché non sia richiesto root). Eveyone ha accesso a /tmp
. Posso iniziare top
e vedere quali processi gli altri clienti utilizzano al momento. E probabilmente di più ... (non sono così esperto di questo).
Potrebbe essere possibile che altri clienti visualizzino% richieste diGET
per l'intero server? (se è importante: ogni cliente ha un proprio sottodominio, la crittografia HTTPS viene eseguita dal certificato SSL wildcard degli hoster)
Forse qualcosa viene salvato in /tmp
quando visito una pagina nel mio wiki? Cache?
Forse c'è un registro globale (errore)?
O altro?