¿Es seguro tener acceso público al archivo en S3 con url 'secreto'? [duplicar]

1

Por ejemplo, enlace

Este es un archivo privado, lo envío al navegador web a través del enlace https a ese archivo privado, pero este archivo es de acceso público. ¿Debo agregar auth usando la información del encabezado que leerá S3? Pero creo que si alguien toma este enlace de la memoria, el atacante también puede robar un encabezado.

Nombre del archivo: md5 del contenido generado para ese cliente. También después de un día, este archivo se eliminará automáticamente.

ACTUALIZACIÓN : en el flujo de trabajo normal, el usuario no verá ni operará de ninguna manera con estos enlaces, sino que podrá encontrarlos en las herramientas para desarrolladores del navegador.

ACTUALIZACIÓN 2 : gracias por los enlaces relacionados, los leí, sí, estas preguntas son bastante relativas, pero específicas de esta pregunta: 1) archivos públicos en Amazon S3 2) El usuario no ve las URL.

ACTUALIZACIÓN 3 : leí posibles preguntas relacionadas con la lectura que encontré posibles:

1) El bloqueo del navegador puede enviar la url al servidor de terceros (no estoy seguro pero soy realista).

2) El usuario instala algún anti [virus] / proxy que envía todos los puntos finales de llamadas HTTP al servidor de terceros (no estoy seguro de esto también).

    
pregunta Vitaly Zdanevich 06.07.2017 - 12:31
fuente

1 respuesta

1

Si se pretende que sea un archivo privado, no es una buena idea dejarlo abierto al acceso público no autenticado.

Si bien el diseño de la generación de URL pública en sí puede hacer que no sea práctico descubrirlo, dependiendo de cómo lo comparta con su público objetivo, los enlaces podrían acortarse, y los enlaces acortados se podrían descubrir mucho más fácilmente, no solo a través de La fuerza bruta, pero también a través de métodos inseguros de compartir.

Hace menos de un año se realizó una investigación (tengo que buscar referencias nuevamente), donde los investigadores encontraron que los enlaces acortados forzados por la fuerza de la fuerza a menudo resultaban en archivos de esta naturaleza, abiertos para acceso público no autenticado, dependiendo de la oscuridad.

    
respondido por el Sas3 06.07.2017 - 13:19
fuente

Lea otras preguntas en las etiquetas