Quanto è (sicuro) proteggere una pagina di amministrazione con una semplice stringa di stringa? [duplicare]

1

Ho una pagina web di amministrazione molto semplice che mostra semplicemente i messaggi di feedback lasciati dagli utenti della mia app mobile. I messaggi vengono inviati dall'app a un server Web e per visualizzare i messaggi è necessario visitare un determinato URL e fornire un parametro di stringa di query (molto lungo).

Quanto è sicuro questo?

Sembra che dovrebbe essere piuttosto sicuro, almeno per una pagina amministrativa così limitata. Non ci sono forme di password per inserire la stringa di query e nessuna pagina Web pubblica che si collega a questo URL, quindi nulla da attirare l'attenzione di un possibile utente malintenzionato.

Ciò che più mi preoccupa è che Google potrebbe rilevare sull'URL se lo visito in Chrome e possibilmente iniziare a collegarlo in un posto o nell'altro. Non sono sicuro se facciano una cosa del genere (ancora) però.

    
posta Magnus W 07.10.2017 - 23:23
fonte

2 risposte

1

In un'azienda di sicurezza in cui ho lavorato, abbiamo considerato segreti i segreti (ad esempio numeri di carta di credito o password) negli URL. Possono essere memorizzati nella cache di proxy intermedi, archiviati in file di registro (sul lato server, in proxy e nella cronologia del browser), inviati a terze parti (si pensi a Google Chrome) e visibili nella maggior parte delle barre degli indirizzi. Tutto ciò offre a questi segreti più esposizione del necessario, anche quando si utilizza https.

Se hai un ambiente totalmente controllato, ad es. la tua pagina di amministrazione personale che solo tu stesso visiterai, potrebbe non essere un grosso rischio. Tuttavia, è una cattiva pratica e non vedo perché ti esponi al rischio extra. Se non si desidera lo stato del server, una JWT sarebbe un'opzione, sebbene sia anche facilmente (e spesso) utilizzata in modo improprio. È meglio e più semplice utilizzare semplicemente una sessione normale con un cookie di sessione.

    
risposta data 08.10.2017 - 00:38
fonte
1

Se si tratta di una stringa di query e presumo che venga pubblicata su un canale non sicuro, l'url verrà memorizzato nella cache nella cronologia del browser, nella cache intermedia e trasmesso tramite i parametri di riferimento durante la navigazione verso altri URL. Può essere accettabile se è puramente per visualizzare il feedback prima di renderlo pubblico. Se è più importante metterei i controlli migliori in atto.

    
risposta data 07.10.2017 - 23:27
fonte