Sono queste informazioni crittografate? Perché è in un URL?

3

C'è un venditore che ci invia report pieni di link ad articoli. Alcuni di questi link, in particolare quelli che eseguono ciò che sto supponendo è un verbo HTTP di qualche tipo, assomigliano a questo:

https://arbitrarynumbers.acronym.website.com/anotheracronym/click?upn=V7nLa9UXJ-2FC89NDFn1UZlmMFXDCeN8q0tH6mY545KyAUaP8HmDtN9T2S-2Bg7aCCMBlSZh11liPowfKxWPna-2FVaptFLOZxqpcD68QrcptgMI1a22Y4XTEZiAeucUWjZAD9sVgV-2Baq0xequM7VcXl-2BmOl3FWqf7MOfWK13WhAyY6ILWhLP7aq99cI0yTYqdDXyfbGSCsAH14unM0mJZPPrnkibqRXOK6AicnwpYyUYWHrrglFkTEp1NUhfexGsfqdAypWPJVWibehmCua8elVvEK3h5UWGEQ-2BcMNXEYYaHh2Mk7e6P0PrboAZkrlVqjZw81_Vf68ZJ5AeUI3LF4CqINVwnqFVd-2FKRV7eRgp7NmpHn0vrNNp-2FS8Dx205CxtKAt8ruN8Tea80o1B2D68NmTEQrbzQbGcouV7k1BM7OghNe6LlIGeA-2B0g3cElmWBAQdEdnWI2eNmj-2FBye8kH4PB-2Bvp5GZihoTPLDhFLu31kSFdBGD5teoPbI-2FY26oYvi9TEWxcsvMtu3BS8V7aM0tKWV6h5D3IUQyv0cgY4liePEMplxsByyFEgJd5mgDyGiI4fFJgxPk529v0OuvuEDbPptklLF1LBT-2F-2Bt-2FOtOcTc-2BgfNAvLEHB8Rizid3vB6a6wd-2FG1PdK8fpMergoZPBy8DG3t143bUrabzZ-2BOvKN5bfzdOO80A-3D (Questo particolare link è quello che fai clic per dire che l'articolo non era pertinente.)

Questo è un tentativo di hashing o di crittografia del contenuto dell'URL in modo che le persone non possano semplicemente inviarli comandi casuali di HTTP DELETE o simili? O è una sorta di sicurezza per oscurità? Qualcos'altro interamente?

    
posta thanby 02.03.2016 - 15:55
fonte

1 risposta

7

No. Il link contiene l'URL completo dell'articolo che non era rilevante e anche i dettagli dell'utente dell'utente che invia "questo non è rilevante", quindi solo quelli che hanno ricevuto il rapporto possono dire che "questo non è rilevante".

Non è sicurezza per oscurità, piuttosto è un collegamento con i dati di autenticazione incorporati, quindi non devi digitare il tuo nome utente / password o chiedere al direttore della società di dire "questo non è rilevante".

Anche il motivo per crittografare l'url è che un codice di verifica dell'integrità, alla fine, può garantire che i dati di autenticazione che appartengono al collegamento 1 non possano essere utilizzati in modo errato per collegare 2. Ad esempio, quando si fa clic su quel collegamento, il l'articolo corrispondente viene quindi contrassegnato come non pertinente. Se qualche persona non autorizzata clicca nuovamente sul link, non importa poiché l'articolo è già contrassegnato come non pertinente.

La crittografia impedisce quindi a qualcuno di modificare l'id di articolo / articolo dell'articolo all'interno del link in modo che un link non possa essere utilizzato in modo improprio per contrassegnare un altro articolo come non pertinente o per l'abuso del link per altre cose come l'annullamento dell'iscrizione o simili.

Pensa al link come questo: link e poi lo si cripta con un algoritmo simmetrico, e poi si codifica come urlsafe base64, prima di inviarlo. Poiché il server ha creato il collegamento crittografato, il server può anche decrittografare le informazioni con la stessa chiave simmetrica, ma nessuno può abusare delle informazioni memorizzate nel collegamento.

Non ha NIENTE da fare con DELETE / PUT e tali verbi HTTP. Un browser non è normalmente in grado di inviare altro che GET / HEAD / POST, quindi la richiesta fatta è una GET nel caso precedente.

    
risposta data 02.03.2016 - 16:08
fonte

Leggi altre domande sui tag