Sé que esta pregunta está un poco del lado de Opinión / Discusión, pero creo que hay una respuesta comprobable.
Creo que la opinión común de "Seguridad a través de la oscuridad" es que la seguridad solo se mantendrá mientras el atacante no pueda adivinar el camino.
En entornos donde se conocen ataques masivos o vectores de ataque comunes, esto es a menudo mucho más simple de lo que mucha gente cree.
Sin embargo, creo que un gran número de personas no clasifican que requieren un combo de nombre de usuario / contraseña como una versión de "Seguridad a través de la oscuridad"
Mi pregunta es esta:
¿Cuál es la diferencia (de seguridad) (si existe) entre las siguientes dos URL con respecto a la seguridad (tenga en cuenta las advertencias que se enumeran a continuación):
URL prototípicas:
- [esquema / protocolo cifrado SSL]: // [usuario]: [contraseña] @ [dominio]
- [esquema / protocolo cifrado SSL]: // [dominio] / [usuario] [contraseña]
Ejemplos:
Advertencias:
- Supongamos que se está accediendo a estas URL por medio de un cliente HTTP de bajo nivel, NO a un navegador web. (es decir, el cliente no está manteniendo un registro de solicitudes y es de confianza. Sé que low-level!="trust", pero me gustaría factorizar el almacenamiento en caché de nuestro navegador como una diferencia en esta pregunta).
- Sé que existen formas conocidas de "predecir" los GUID que se podrían haber generado si usted tiene suficiente conocimiento de la máquina fuente del guid y el tiempo (y probablemente otros factores). No sé si puede extraer esta información de una guía de muestra. Supongamos que las Guías generalmente no son predecibles.
- Aunque ya he intentado solucionar esto con 1, permítanme ser claro: los seres humanos nunca interactúan directamente con estas URL (o incluso las ven sin excavar en una aplicación compilada)
¿La segunda URL forma un ejemplo de seguridad a través de la oscuridad? ¿O simplemente menos seguro debido a las menos protecciones que ofrece el cliente?