Rischi di condividere informazioni solo "protette" da un url indecifrabile [duplicato]

0

Recentemente ho iniziato a utilizzare grafana per visualizzare molte metriche diverse. Grafana mi consente inoltre di condividere istantanee del dashboard direttamente tramite un collegamento. Il che è piuttosto comodo poiché posso condividere il dashboard senza che altri debbano essere registrati sul mio sito. Tale link sarebbe simile al seguente:

https://my-website.com:3000/dashboard/snapshot/2yFejTCJX4G8Q4Ea2XiCpMhQuiUTDvyu

Nel processo di creazione di un tale collegamento, grafana mi avverte di quanto segue:

MièchiarocheperilcasoinviiillinkallapersonaA,nonpossomaidireachiinvieràquellink.

Maseconsideriamounoscenarioincuil'istantaneadelladashboardmostradatirelativiallapersonaA.LapersonaAovviamentenonvuolechegliestraneicasualipossanoaccedereallesueinformazioni.

1)ÈunacattivaideaorasecreoillinkelomandoallapersonaAconl'avvertimentochenondovrebbecondividerloconaltripoichéognunoconillinkpuòaccedereallasuadashboard?

2)Questoapproccioèpiùrischiosorispettoalnormalemododiaccesso?Poichéconilnormaleapprocciodiaccessoc'èanchelapersonaarischioAcondivideilsuologin/passwordconglialtri?

3)Ègeneralmentepossibileaccedereatutteleistantaneedeldasboardconqualchetipodiattaccoaforzabruta?

Linkalladocumentazionesullacondivisionedelladashboard: Link

    
posta IIIIIIIIIIIIIIIIIIIIII 13.10.2016 - 15:55
fonte

1 risposta

1

Un link "non accessibile" è esattamente analogo a un link protetto da nome utente / password - come si immagina, gli utenti potrebbero facilmente condividere il nome utente / password per un collegamento ipotetico in quanto potrebbero creare un link "non accessibile". Infatti, poiché i collegamenti non visitabili possono avere molta più entropia e perché non sono suscettibili alle pratiche di password errate, possono finire per essere ancora più sicuri.

Per quanto riguarda la forzatura bruta, ci sono 62 ^ 32 possibili collegamenti nello schema che sembrano usare (lettere maiuscole e minuscole + numeri, 32 caratteri). Ciò significa che anche se potessero provare centinaia di migliaia di collegamenti al secondo, ci vorrebbe ancora molte, molte più volte della durata dell'universo per esaurire lo spazio di ricerca. Anche se ci sono centinaia di milioni di link, potrebbero probabilmente provare fino a quando il sole si oscura senza trovarne uno.

62 ^ 32 è un numero enorme.

(Ciò presuppone che gli url siano generati casualmente, usando buone fonti di casualità e non siano prevedibili.Se sono prevedibili (hash dal momento + account o qualcosa del genere), tutte le scommesse sono off.)

    
risposta data 13.10.2016 - 16:08
fonte

Leggi altre domande sui tag