Mi proveedor de alojamiento ofrece un producto de infraestructura como servicio (IaaS) administrado a través de una interfaz web, donde el administrador puede crear y destruir máquinas virtuales.
Para acceder al portal de administración basado en web, debo iniciar sesión en la "mesa de servicio" del proveedor de alojamiento (nombre de usuario y contraseña a través de HTTPS) y luego hacer clic en un enlace generado para acceder al portal de administración de IaaS (también HTTPS ).
Lo más probable es que el enlace en sí mismo sea inescrutable (incluye lo que parece un hash md5 y 2 GUID), pero cualquier persona con acceso a esa URL tendrá acceso ilimitado al portal IaaS durante varias horas (el enlace parece caducar después de eso). hora).
He probado que el acceso a través del enlace no está restringido a mi dirección IP específica.
En resumen, cualquier persona con el enlace podría eliminar todas las máquinas virtuales y los datos de mi cliente, siempre que tengan acceso a él dentro de un par de horas de su generación.
¿Es esta seguridad inadecuada para algo como un portal IaaS (mi intuición dice que no)? ¿Qué inquietudes específicas puedo plantear al proveedor de hosting?
Editar: Sé que esta pregunta es similar a ¿Se incluye un GUID secreto en una seguridad de URL a través de la oscuridad? , pero esa pregunta se relaciona con los clientes HTTP de bajo nivel, no con los navegadores, que presentan inquietudes adicionales, como la pérdida de URL, el historial del navegador, el almacenamiento en caché, etc.