¿Una cadena larga y aleatoria en una URL se considera una protección adecuada contra el acceso no autorizado? [duplicar]

2

Hace poco tuve que enviar varios documentos PDF confidenciales a un sitio web. Estos documentos contienen información más que suficiente para usar en el robo de identidad, y puedo imaginar cómo otros usuarios que utilizan el mismo sitio subirían aún más información.

Al ver estos documentos a través del sitio web, noté que el método para proteger el contenido del acceso no autorizado es usar una cadena larga y aparentemente aleatoria:

https://eu-apps.groupdocs.com/document-viewer/Embed/52e0810668cb44883d39448d57f11dc26ab3a9322ee6ce6217349ba10cef914a

También observo que este contenido es susceptible de ataques de tipo sslstrip , es decir, se puede usar http en lugar de https si se fuerza el uso de un MITM.

Me preocupa la falta de control de acceso genuino al documento. Historial del navegador, uso compartido de enlaces, sniffing si se usa http; Todos estos filtran el documento y cómo acceder a él.

Ya hay una pregunta y respuesta en esta línea " ¿Las URL aleatorias son una forma segura de proteger las fotos de perfil? ", sin embargo, en este caso:

  • El activo es información que podría llevar al robo de identidad, en lugar de a una imagen de perfil.
  • Una imagen de perfil debe ser accesible para muchos otros en la mayoría de los casos (al menos cualquier otra persona inició sesión en el mismo sitio web, casi todos). Los documentos en este caso deben ser visibles a lo sumo por tres partes y ser privados de todos los demás.
  • Hay un intento de ocultar la URL mediante https que se puede subvertir fácilmente.
  • La solicitud específica es para una adjudicación independiente en disputas por depósitos de arrendamiento. Las únicas partes que deben ver los documentos son el inquilino, el propietario y el adjudicador.

¿Se considera esto como seguridad adecuada?

    
pregunta Cybergibbons 15.03.2015 - 09:35
fuente

1 respuesta

1

Yo diría: una URL larga y aleatoria es esencialmente una contraseña. Así que sigue siendo un control de acceso adecuado.

Compare, por ejemplo, vaya a enlace y escriba username = admin password = somelongrandompassword, o simplemente vaya a enlace

Sí, hay algunos métodos de ataque que inicialmente no existían si se hubiera utilizado un inicio de sesión normal, por ejemplo, buscar en el historial del navegador, compartir enlaces, etc.

Pero usted, como usuario final, también debe ser cauteloso y no debe hacerlo:

  • utilizar el sitio web desde una computadora accesible a la publicidad. (o asegúrese de que sea una computadora diseñada para "reiniciar" cada sesión, de modo que se borre toda la información confidencial en el caché, el historial y las cookies)
  • no comparte el enlace con personas no autorizadas.
  • Tenga cuidado si el indicador SSL no está presente.

Y, por supuesto, los administradores que le solicitaron que envíe los documentos (que utilizan los documentos de una manera u otra) deben realizar el mismo cuidado, pero creo que los administradores son conscientes de que los enlaces contienen la información de autenticación para acceder. los documentos.

    
respondido por el sebastian nielsen 15.03.2015 - 11:15
fuente

Lea otras preguntas en las etiquetas