[請益] 用網址傳值當簡單的加密,可行嗎?

作者: poeta (鍵盤詩人)   2017-01-30 20:01:44
我想要把一些課程的共筆丟到學校的網路空間,方便
同班的同學隨時觀看,以及上傳檔案,又不想要被搜尋引
擎抓到。尤其怕訪客亂傳檔案上去。
那麼我簡單的用get傳值,就是用一個if判斷式 ,如
果網址後面有?password=1234,就顯示內容,else就是一
張空白網頁,或者加一個密碼輸入框。
不用POST的原因,是我貼網址的時候就直接可以貼密
碼過去,比較方便。這樣是可行的嗎?還是說有其他不周
全的地方。
作者: imhaha (嘿嘿)   2017-01-30 20:48:00
google [get post] 應該滿多東西可以參拜的
作者: lambo (Lambo)   2017-01-30 22:58:00
session?
作者: aaa7513231 (渾沌與秩序)   2017-01-30 23:01:00
用ftp是不是就是妳的需求了?
作者: zop (ㄞ肝ㄞ肝~一元二十罐~)   2017-01-30 23:10:00
或者利用一些雲端空間限制使用者共用不是很方便?
作者: GALINE (天真可愛CQD)   2017-01-30 23:44:00
知道網址不用登入就能存取的話,Google/雅虎會抓得到...至少要上 robots.txt,但某些情況下還是可能被索引請參照北市府薪資報表洩漏案...如果大家都有 google帳號,用 google drive + 授權限制會是比較安全的方案反過來,共筆為什麼不能給別人看...XDDDD搜尋引擎若發現「a.php?password=1234」這個網址有東西就有可能把這個東西顯示在結果項目裡面。但會不會顯示內文又是另一件事情。我不知道這算不算你所認定的「安全」...你要「保證」不會出事的話,這件事就不會太單純或你覺得一下下沒關係,那你可以考慮簡單做但坦白說我覺得用 google drive 比自己做更簡單...除非你不想拿到其他人的google帳號,或有人沒有google帳號而在這種狀況下,if($_POST['pwd']==1234) 的問題會比較少優點是搜尋引擎毛手毛腳不到這裡,缺點是要多一個表單拿一點麻煩交換一點安全。畢竟同一個連結一定能連到的東西我不會稱之為「安全」...
作者: poeta (鍵盤詩人)   2017-01-31 00:39:00
謝謝指點
作者: MangoTW (不在線上)   2017-01-31 01:46:00
Google 不會平白無故知道 ?pw=1234 除非有人公開讓他掃到如果確定大家不會公開這個網址,甚至做超連結在其他網頁那理論上可以達到保密但是你的需求是檔案分享,可能 FTP 或雲端硬碟更適合雲端硬碟設定只有瀏覽權限的網址,其實跟你網址保密一樣
作者: GALINE (天真可愛CQD)   2017-01-31 09:40:00
江湖謠傳Google Bot有能力猜網址。而北市府的事情則是跟Yahoo工具列有關的樣子雖然理論上 robots.txt 設好後搜尋引擎就會當作沒看到但終究問題是想要多高的安全性。安全是相對的不是絕對的如果「真的很不能露出去」,那只靠網址不是好招如果更接近「隨便啦,不要很容易發現就好反正一下下而已」那....其實是沒差。
作者: thirteeen (13)   2017-02-01 18:24:00
如果真要這樣搞的話 建議傳過去的password至少要有一些身份或時間的限制 很難保證這串帶著密碼的網址不會外流被別人使用 例如將你的密碼用timestamp server收到後判斷+-10分鐘內有效 加個可逆的hash函數包成密碼 認證後就可以用session方式讓他下次不用再驗證但畢竟還是不安全 可以的話像推文各位大大說的 用正規點的做法比較好
作者: xdraculax (首席怪叔叔)   2017-02-02 03:51:00
駭客機器人是會自己亂試網址的,不是乖乖給你爬連結的,以前公司有購物網站被跑 delete=xx 刪掉幾百萬的交易紀錄 ...只要有連結就能看的東西就沒有100%安全
作者: AizawaYuuiti ( )   2017-02-03 17:30:00
自己的東西要這樣用是無所謂,比較快但你不能保證沒有天兵把他貼到哪個SNS上,Google就很容易知道,這樣就不太安全
作者: NioTW (Nio)   2017-02-10 08:41:00
把密碼寫在網址等同雲端硬碟「知道網址都可看」只要有人貼在任何社群網站基本就是曝光了

Links booklink

Contact Us: admin [ a t ] ucptt.com