¿Se puede descubrir una URL que no tiene enlaces? [duplicar]

3

Supongamos que hay una URL example.com/abunchofrandomsymbols y que no hay enlaces a ella en ningún lugar de Internet. ¿Podría ser descubierto de alguna manera?

Mi opinión es que un navegador como Google Chrome podría reportarlo a Google. Pero, ¿haría Google algo así?

Entiendo que esta pregunta pertenece a la categoría de seguridad a través de la oscuridad y tal vez no sea una buena idea, pero aún así, ¿sería visible dicha URL?

    
pregunta Arthur Tarasov 19.10.2018 - 06:20
fuente

2 respuestas

3

Si preguntas si "las URL se pueden descubrir de alguna manera", entonces la respuesta es definitivamente sí . Para obtener más información, puede consultar los enlaces proporcionados por Steffen Ullrich en un comentario a su pregunta. Las URL completas se pueden filtrar de varias maneras: probablemente se registran en los registros del servidor, se pueden enviar como referencia cada vez que la página carga un activo (imagen, javascript, fuentes externas, etc.), puede que su ISP las registre ( a menos que siempre use HTTPS, en ese caso solo se puede ver el dominio), pueden ser registrados por malware en caso de que se infecte (infectado en su computadora o en el sitio web en sí), pueden ser Se filtraron de muchas maneras diferentes por error (falla copiar y pegar, o pensar que vas a buscar una URL y en su lugar el navegador / aplicación busca para enviarla como una consulta, etc.) .

Y como usted dijo, también pueden ser grabados por cualquier software que use, a menudo de forma inesperada. Es posible que su cliente de correo electrónico esté procesando todo el contenido de sus correos electrónicos de manera automática, con varios propósitos, que pueden incluir propósitos comerciales, y puede que estén analizando y registrando todas las URL en el contenido, por ejemplo. Lo mismo es cierto para otro software (a menudo invasor de la privacidad), desde un simple editor de texto hasta un sistema operativo completo. Y no olvide el antivirus: podría estar intentando registrar todas las URL que pueda, analizarlas y bloquearlas si se sabe que son maliciosas. Y todo esto también puede hacerlo su navegador, por supuesto.

En cuanto a Google Chrome, ¿sabe qué URL visita? La respuesta parece ser sí, pero quizás no siempre y quizás solo si tiene ciertas funciones activadas (que de todas formas podrían estar activadas de forma predeterminada): consulte, por ejemplo, su política de privacidad en enlace . Citando algunas partes:

  

Cuando no puedes conectarte a una página web, puedes obtener sugerencias para páginas alternativas similares a las que intentas acceder. Para poder ofrecerte sugerencias, Chrome envía a Google la URL de la página a la que intentas acceder.
  [...]
  En general, las estadísticas de uso no incluyen las URL de la página web ni la información personal, pero, si ha iniciado sesión en Chrome y está sincronizando su historial de navegación en su cuenta de Google sin una frase de contraseña de sincronización, las estadísticas de uso de Chrome incluyen información sobre las páginas web que visita. y su uso de ellos.
  [...]
  Los informes de bloqueo contienen información del sistema en el momento del bloqueo y pueden contener direcciones URL de páginas web o información personal, dependiendo de lo que estaba sucediendo en el momento en que se activó el informe de bloqueo.
  [...]
  Algunas versiones de Chrome cuentan con tecnología de navegación segura que puede identificar sitios potencialmente dañinos y tipos de archivos potencialmente peligrosos que Google aún no conoce. La URL completa del sitio o el archivo potencialmente peligroso también se puede enviar a Google para ayudar a determinar si el sitio o el archivo son dañinos.

Esto, por supuesto, no significa que la URL será rastreada y luego incluida en los resultados de búsqueda. Sin embargo, nunca puede estar seguro de lo que Google (u otras compañías similares) está haciendo con sus datos, lo que planean hacer y lo que harán mañana. Es una empresa, con su software y servicios, con configuraciones / objetivos / políticas que pueden cambiar muy rápidamente cualquier día.

    
respondido por el reed 19.10.2018 - 11:44
fuente
2

En resumen: no puede.

Puede haber excepciones como:

  • uno de los clientes lo reporta a otra parte
  • alguien se está conectando a él mediante una conexión interceptable y alguien lo intercepta
  • su servidor web tiene el listado de directorios habilitado

Esa es la razón por la que existen proyectos como OWASP Dirbuster . Existen muchas herramientas como esta, pero todas funcionan de la misma manera: intentan agregar (más o menos) cadenas aleatorias a un dominio y verificar el comportamiento de respuesta del servidor.

También tienes razón: la seguridad a través de la oscuridad nunca es una buena idea (piensa en lo que le sucedió a Microsoft cuando el Samba-Team invirtió el NTLM. Por lo tanto, más allá de tu pregunta teórica, realmente no puedo pensar en una forma adecuada de poner esto en una uso productivo. Hay muchas maneras de asegurar (partes de) sitios web y todos aquellos que son favorables, simplemente ocultándolos. También puede buscar aquí sobre por qué no es una idea brillante poner realmente en uso lo que se indica arriba.

    
respondido por el Ben 19.10.2018 - 07:02
fuente

Lea otras preguntas en las etiquetas