Una struttura di directory sconosciuta considera la sicurezza dall'oscurità? [duplicare]

0

Ho un sito web statico e la sua sicurezza dipende da chi non sa che un file segreto è su example.com/Path/To/Secret/File.pdf. Supponendo che il percorso del file non sia generato casualmente, è sicuro?

Aggiornamento: il percorso non è così oscuro. Sarebbe come domain.tld / Files / Password.txt. Niente di simile a GUID o stringhe casuali.

    
posta jkd 07.12.2016 - 01:24
fonte

1 risposta

3

Per rispondere alla domanda nel titolo, sì, questa è sicurezza attraverso l'oscurità.

Mentre la comunità della sicurezza generalmente disapprovante, in alcune situazioni che possono essere appropriate - per esempio, file semi-privati su un CDN, con una lunga stringa casuale nell'URI, a cui è necessario accedere da una varietà di client per i quali è difficile gestire l'autenticazione.

La situazione, tuttavia, è leggermente diversa, in quanto esplicitamente non si utilizza un nome file difficile da indovinare. Ciò significa che qualcuno a cui non è mai stato dato l'accesso al file ha ancora una ragionevole possibilità di trovarlo.

Un problema più ampio con questo tipo di sicurezza è che non è possibile revocare facilmente l'accesso per utenti specifici. Se a una persona è stato concesso l'accesso, continuano ad avere accesso, il che può essere un problema se, ad esempio, fossero dipendenti e ora abbiano lasciato l'azienda. Permette anche a loro di inviare il link ad altri, sia in forma pubblica che privata, e gli altri avranno ora accesso, anche se non intendevi concederlo a loro. Di nuovo, in alcune situazioni questo è accettabile (se si tratta di un file che non viene aggiornato frequentemente, potrebbe semplicemente salvarlo sul proprio computer e ottenere la stessa cosa), ma questo dipenderà dalla situazione.

    
risposta data 07.12.2016 - 01:35
fonte

Leggi altre domande sui tag