Una stringa lunga e casuale in un URL considera una protezione adeguata dall'accesso non autorizzato? [duplicare]

2

Recentemente ho dovuto inviare un numero di documenti PDF riservati a un sito web. Questi documenti contengono più di informazioni sufficienti da utilizzare nel furto di identità e posso immaginare come altri utenti che utilizzano lo stesso sito caricheranno ancora più informazioni.

Durante la visualizzazione di questi documenti attraverso il sito Web, ho notato che il metodo di protezione del contenuto dall'accesso non autorizzato consiste nell'utilizzare una stringa lunga, apparentemente casuale:

https://eu-apps.groupdocs.com/document-viewer/Embed/52e0810668cb44883d39448d57f11dc26ab3a9322ee6ce6217349ba10cef914a

Ho anche notato che questo contenuto è suscettibile agli attacchi di tipo sslstrip , ad esempio http può essere usato al posto di https se forzato usando un MITM.

La mancanza di un vero controllo degli accessi al documento mi riguarda. Cronologia del browser, condivisione dei collegamenti, sniffing se si utilizza http; questi tutti perdono il documento e come accedervi.

C'è già una domanda e una risposta lungo queste linee " Gli URL casuali sono un modo sicuro per proteggere le foto del profilo? ", tuttavia, in questo caso:

  • L'asset è un'informazione che potrebbe portare a un furto di identità, piuttosto che un'immagine del profilo.
  • Una foto del profilo dovrebbe essere accessibile da molti altri nella maggior parte dei casi (almeno chiunque abbia firmato nello stesso sito web, al massimo tutti). I documenti in questo caso dovrebbero al massimo essere visibili a tre parti e essere privati di tutti gli altri.
  • C'è un tentativo di nascondere l'URL usando https che può essere facilmente sovvertito.
  • L'applicazione specifica è per l'aggiudicazione indipendente è controversie deposito di locazione. Le uniche parti che dovrebbero vedere i documenti sono l'inquilino, il proprietario e il giudice.

È considerata una sicurezza adeguata?

    
posta Cybergibbons 15.03.2015 - 09:35
fonte

1 risposta

1

Direi: un lungo URL casuale è essenzialmente una password. Quindi è ancora un controllo di accesso adeguato.

Confronta per esempio andando a link e digitando username = admin password = somelongrandompassword, o semplicemente andando a link

Sì, esistono alcuni metodi di attacco che inizialmente non esistevano se fosse stato utilizzato un normale login, ad esempio sfruttando la cronologia del browser, la condivisione dei link e così via.

Ma anche tu come utente finale devi essere cauto e non capire:

  • usa il sito web da un computer accessibile alla pubblicità. (o assicurati che sia un computer progettato per "resettare" ogni sessione in modo che tutte le informazioni sensibili nella cache, nella cronologia e nei cookie vengano cancellate)
  • non condividere il link con persone non autorizzate.
  • Fai attenzione se l'indicatore SSL non è presente.

E, naturalmente, gli amministratori che hanno richiesto di inviare i documenti (che utilizza i documenti in un modo o in un altro) devono eseguire la stessa cura, ma penso che gli amministratori siano ben consapevoli del fatto che i collegamenti contengono le informazioni di autenticazione per l'accesso i documenti.

    
risposta data 15.03.2015 - 11:15
fonte

Leggi altre domande sui tag