¿Qué tan seguro es proteger una página de administrador con una simple contraseña de cadena de consulta? [duplicar]

Navega tus respuestas
1

Tengo una página web de administración muy simple que simplemente muestra los mensajes de comentarios dejados por los usuarios de mi aplicación móvil. Los mensajes se envían desde la aplicación a un servidor web, y para ver los mensajes que se necesitan para visitar una URL particular y proporcionar un parámetro de cadena de consulta (muy largo).

¿Qué tan seguro es esto?

Parece que debería ser bastante seguro, al menos para una página de administración tan limitada. No hay formularios de contraseña para ingresar la cadena de consulta, y no hay páginas web públicas que se vinculen a esta URL, por lo que no hay nada que llame la atención de un posible atacante.

Lo que más me preocupa es que Google puede recoger la URL si la visito en Chrome y posiblemente empiece a enlazarla en un lugar u otro. Sin embargo, no estoy seguro de si lo hacen (aún).

    
pregunta Magnus W 07.10.2017 - 23:23
fuente

2 respuestas

1

En una empresa de seguridad donde trabajaba, consideramos que los secretos (por ejemplo, números de tarjetas de crédito o contraseñas) en las URL son un riesgo. Pueden almacenarse en caché en proxies intermedios, almacenarse en archivos de registro (servidor, en proxies y en el historial del navegador), enviarse a terceros (piense en Google Chrome) y aparecer en la mayoría de las barras de direcciones. Todo esto le da a tales secretos una mayor exposición de la necesaria, incluso cuando se usa https.

Si tienes un entorno totalmente controlado, por ejemplo, Su página de administración personal que solo usted mismo visitará, podría no ser un gran riesgo. Sin embargo, es una mala práctica y no veo por qué te expones al riesgo adicional. Si no desea el estado del servidor, un JWT sería una opción, aunque eso también es mal usado con frecuencia (y con frecuencia). Es mejor y más fácil usar una sesión normal con una cookie de sesión.

    
respondido por el Luc 08.10.2017 - 00:38
fuente
1

Si es una cadena de consulta y supongo que se sirve en un canal no seguro, la URL se almacenará en caché en el historial del navegador, las memorias intermedias intermedias y se transferirá a través de los parámetros de referencia cuando navegue a otras URL. Puede ser aceptable si es solo para ver los comentarios antes de hacerlo público. Si es más importante, pondría mejores controles en su lugar.

    
respondido por el Greg 07.10.2017 - 23:27
fuente

Lea otras preguntas en las etiquetas

¿Es seguro almacenar las imágenes cargadas como datos de blob en la base de datos? ¿Es posible guardar datos biométricos escaneados y usarlos más tarde?