UUID en la URL: ¿qué tan seguro está de la solución propuesta para mi descubrimiento accidental?

Navega tus respuestas
0

Esto es lo que quiero hacer: Creamos informes para los clientes, normalmente los enviamos en formato PDF a nuestro cliente, que luego los comparte con colegas de su compañía. Queremos cambiar ahora a informes digitales.

  • Solo se puede acceder al informe a través de la URL con UUID
  • Cuando el usuario hace clic en el enlace, se le redirige desde enlace a enlace
  • El segundo dominio comprueba el referente de http para el UUID. Hacemos esta redirección para evitar el problema cuando el usuario hace clic en el informe en un enlace externo que el otro servidor tiene el UUID en sus registros de remitentes.
  • Creamos el UUID v4 con el UUID del paquete NPM
  • Todo es a través de conexiones https

Mis preguntas:

(editado para evitar duplicados)

  • ¿Los rastreadores pueden encontrar el UUID si no está publicado en algún lugar?
  • ¿Mi solución para redirigir a una página de informe separada para evitar que el problema con los UUID que se exponen en la URL de la solicitud sea efectiva?

¿Por qué no usamos el nombre de usuario / contraseña? Simplemente porque al final, al compartir el informe, estas credenciales también se comparten en los correos electrónicos. Y o bien creamos una contraseña larga y segura o el cliente la crea, pero es muy probable que tenga que compartir una de sus contraseñas estándar.

    
pregunta Thomas Urban 01.11.2017 - 14:27
fuente

1 respuesta

2

No es muy seguro, pero dependiendo de lo sensible que sea realmente el archivo, puede considerar que los riesgos valen la pena por los beneficios de usabilidad.

  

¿Puede un robot indexar tales páginas y sus UUID?

Sí, si alguien ha publicado el enlace al archivo en la Internet pública, puede indexarlo. Con los principales motores de búsqueda, puede pedir a los motores de búsqueda que excluyan este directorio utilizando robots.txt , pero el cumplimiento de los robots .txt son voluntarios y hay muchas otras arañas que ignoran robots.txt.

Si desea asegurar esto sin perder gran parte de la facilidad de uso, es posible que desee considerar la necesidad de que los espectadores creen cuentas individuales para acceder a su sitio. Los espectadores deben ingresar su correo electrónico, y usted validaría su dirección enviando un correo electrónico con un token de confirmación, luego enviaría un mensaje al propietario del documento para pedirle que otorgue acceso al usuario identificado por su correo electrónico. Además, es posible que desee permitir que el propietario del documento especifique una lista de dominios de correo electrónico y direcciones a las que se les otorgará acceso automáticamente, para que no tenga que otorgar manualmente todas las solicitudes. La mayoría de las compañías les dan a sus empleados las direcciones de correo electrónico en un dominio de la compañía, por lo que esto cubriría muchos casos de uso. De esta manera, cada usuario que acceda al documento seguirá siendo identificado, en lugar de ser un usuario anónimo.

Si realmente no desea que los usuarios creen una cuenta, es posible implementar esto sin necesidad de una contraseña de usuario. Cuando el usuario escribe su correo electrónico, se le enviará un correo electrónico que contiene un enlace en el que hará clic. que tienen un token único que les otorga acceso al documento por un corto período de tiempo. Cuando el token a corto plazo expira, el usuario puede solicitar un token nuevo.

    
respondido por el Lie Ryan 01.11.2017 - 15:36
fuente

Lea otras preguntas en las etiquetas

Verificación del cifrado en reposo con Oracle 11g ¿Cómo es posible que no podamos rastrear realmente el servidor C&C (u otro oculto)?