Può essere scoperto un URL che non ha collegamenti ad esso? [duplicare]

3

Diciamo che c'è un URL example.com/abunchofrandomsymbols e non ci sono collegamenti ad esso ovunque su Internet. Potrebbe essere scoperto in qualche modo?

La mia ipotesi è un browser come Google Chrome potrebbe segnalarlo a Google. Ma Google farebbe qualcosa del genere?

Comprendo che questa domanda appartiene alla sicurezza attraverso la categoria delle oscurità e forse non è una buona idea, ma comunque, tale URL potrebbe essere individuabile?

    
posta Arthur Tarasov 19.10.2018 - 06:20
fonte

2 risposte

3

Se stai chiedendo se "gli URL possono essere scoperti in qualche modo", la risposta è sicuramente . Per ulteriori informazioni, puoi controllare i link forniti da Steffen Ullrich in un commento alla tua domanda. Gli URL completi possono essere trapelati in diversi modi: sono probabilmente registrati nei log del server, possono essere inviati come referrer ogni volta che la pagina carica un asset (immagine, javascript, caratteri esterni, ecc.), Potrebbero essere registrati dal tuo ISP ( a meno che tu sempre usi HTTPS, in tal caso è possibile vedere solo il dominio), possono essere registrati dal malware in caso di infezione (infetto sul tuo computer o sul sito stesso), possono essere trapelato in molti modi diversi per errore (copia-incolla fallisce, o pensando di andare a cercare un URL e invece il browser / l'applicazione cerca per inviarlo come una query, ecc.) .

E come hai detto tu, possono anche essere registrati da qualsiasi software che usi, spesso inaspettatamente. Il tuo client di posta elettronica potrebbe elaborare automaticamente tutti i contenuti delle tue e-mail, per diversi scopi che potrebbero includere finalità commerciali e, ad esempio, potrebbero analizzare e registrare tutti gli URL nel contenuto. Lo stesso vale per altri software (spesso invasivi per la privacy), da un semplice editor di testo a un intero sistema operativo. E non dimenticare l'antivirus: potrebbe tentare di registrare tutti gli URL che può, scansionarli e bloccarli se sono noti per essere dannosi. E tutto ciò potrebbe essere fatto anche dal tuo browser, naturalmente.

Come per Google Chrome, sa quali URL si visita? La risposta sembra essere sì, ma forse non sempre e forse solo se hai alcune funzionalità attivate (che potrebbero essere comunque attivate in ogni caso): consulta ad esempio la sua politica sulla privacy su link . Citando alcune parti:

When you can’t connect to a web page, you can get suggestions for alternative pages similar to the one you're trying to reach. In order to offer you suggestions, Chrome sends Google the URL of the page you're trying to reach.
[...]
In general, usage statistics do not include web page URLs or personal information, but, if you are signed in to Chrome and syncing your browsing history in your Google Account without a Sync passphrase, then Chrome usage statistics include information about the web pages you visit and your usage of them.
[...]
Crash reports contain system information at the time of the crash, and may contain web page URLs or personal information, depending on what was happening at the time the crash report was triggered.
[...]
Some versions of Chrome feature Safe Browsing technology that can identify potentially harmful sites and potentially dangerous file types not already known by Google. The full URL of the site or potentially dangerous file might also be sent to Google to help determine whether the site or file is harmful.

Questo ovviamente non significa che l'URL verrà sicuramente sottoposto a scansione e quindi incluso nei risultati di ricerca. Tuttavia non puoi mai essere sicuro di ciò che Google (o altre società simili) sta facendo con i tuoi dati, cosa loro pensano di fare e cosa faranno domani. È un'azienda, con i suoi software e servizi, con impostazioni / obiettivi / politiche che possono cambiare molto rapidamente ogni giorno.

    
risposta data 19.10.2018 - 11:44
fonte
2

In breve: non può.

Potrebbero esserci delle eccezioni come:

  • uno dei clienti lo segnala a un'altra parte
  • qualcuno si sta connettendo ad esso usando una connessione intercettabile e qualcuno lo intercetta
  • il tuo server web ha l'elenco delle directory abilitato

Questo è il motivo per cui esistono progetti come OWASP Dirbuster . Ci sono molti strumenti come questo, ma funzionano tutti allo stesso modo: cercando di aggiungere (più o meno) stringhe casuali a un dominio e controllare il comportamento di risposta del server.

Hai ragione anche tu: la sicurezza attraverso l'oscurità non è mai una buona idea (pensa a cosa è successo a Microsoft quando il Samba-Team ha invertito NTLM. Quindi, oltre alla tua domanda teorica, non riesco a pensare a un modo corretto per metterlo in una uso produttivo Ci sono molti modi per proteggere (parti di) siti web e tutti quelli favorevoli sopra solo nascondendolo. Puoi anche guardare qui sul perché non è un'idea geniale mettere in pratica quanto sopra dichiarato.

    
risposta data 19.10.2018 - 07:02
fonte

Leggi altre domande sui tag