¿Debo solicitar autenticación para los recursos con una clave de hash? [duplicar]

1

He notado que mis recursos privados de Google Drive, por ejemplo, aunque es imposible "adivinar" su clave hash y obtenerla (por ejemplo, tbEB6fQTqQcFAoRBXYvnpNVq9F3PUr_cs), sin embargo el servidor requiere autenticación para acceder al recurso.

Por otra parte, en ICloud vi que si bien hay un enlace "externo" que representa cada recurso, es privado, pero la dirección real (a través de la cual el cliente se queda con el recurso) no tiene ninguna autenticación.

Creo que tiene sentido, que no hay forma de que un atacante obtenga la clave en la Cadena de consulta, porque está cifrada por SSL.

La pregunta es si existe algún temor y, por lo tanto, implementar la validación como lo hace Google. Me refiero a una aplicación en la que los recursos no están expuestos de ninguna manera a un usuario sin autenticación.

    
pregunta dovid 08.11.2017 - 14:52
fuente

1 respuesta

1

Como se señaló en los comentarios de @Sjoerd, usar una URL para proteger un recurso en teoría puede ser seguro, pero conlleva varios problemas potenciales. Si esta es su pregunta, entonces es un duplicado de ¿Es el token de URL aleatorio lo suficientemente seguro como para archivos adjuntos y otro contenido de usuario? .

Según mis comentarios, parece que iCloud no usa simplemente una URL. El enlace provisto contenía varios parámetros de consulta, incluido un token de sesión, caducidad (relativamente corta) y firma.

    
respondido por el Hector 08.11.2017 - 17:22
fuente

Lea otras preguntas en las etiquetas