Riesgos de compartir información simplemente "protegida" por una url indiscutible [duplicado]

Navega tus respuestas
0

Recientemente comencé a usar grafana para visualizar muchas métricas diferentes. Grafana también me permite compartir instantáneas del panel de control directamente a través de un enlace. Lo cual es bastante cómodo ya que puedo compartir el panel de control sin necesidad de que otros se registren en mi sitio. Dicho enlace se vería como el siguiente: 

https://my-website.com:3000/dashboard/snapshot/2yFejTCJX4G8Q4Ea2XiCpMhQuiUTDvyu

En el proceso de creación de dicho enlace, grafana me advierte sobre lo siguiente:

Paramí,estáclaroque,enelcasodequeenvíeelenlacealapersonaA,nuncapuedodeciraquiénenviaráeseenlacetambién.

PerosiconsideramosunescenarioenelquelainstantáneadelpanelmuestradatosrelacionadosconlapersonaA.LapersonaAobviamentenoquierequeextrañosalazarpuedanaccederasuinformación.

1)¿EsunamalaideaahorasicreoelenlaceyloenvíoalapersonaAconlaadvertenciadequenodeberíacompartirloconlosdemás,yaquecadaunoconelenlacepuedeaccederasupaneldecontrol?

2)¿Esteenfoqueesmásarriesgadoquelaformadeiniciodesesiónnormal?¿ConelenfoquedeiniciodesesiónnormaltambiénexistelapersonaderiesgoAcompartesunombredeusuario/contraseñaconotros?

3)¿Esgeneralmenteposibleobteneraccesoatodaslasinstantáneasdeltableroconalgúntipodeataquedefuerzabruta?

Enlacealadocumentaciónsobreelusocompartidodelpanel: Enlace

    
pregunta IIIIIIIIIIIIIIIIIIIIII 13.10.2016 - 15:55
fuente

1 respuesta

1

Un enlace "indiscutible" es exactamente análogo a un enlace protegido por nombre de usuario / contraseña. Como supones, los usuarios podrían compartir el nombre de usuario / contraseña con la misma facilidad que un enlace indiscutible, al igual que un enlace "indivisible". De hecho, debido a que los enlaces indiscutibles pueden tener mucha más entropía y no son susceptibles a las malas prácticas de contraseña, puede terminar siendo aún más seguro.

En cuanto al forzamiento bruto, hay 62 ^ 32 enlaces posibles en el esquema que parecen estar usando (mayúsculas y minúsculas + números, 32 caracteres de longitud). Eso significa que incluso si pudieran probar cientos de miles de enlaces por segundo, aún se necesitarían muchas, muchas más veces que la vida del universo para agotar el espacio de búsqueda. Incluso si hay cientos de millones de enlaces, probablemente podrían intentarlo hasta que el sol se apague sin encontrar uno.

62 ^ 32 es un número enorme.

(Esto supone que las direcciones URL se generan aleatoriamente, usando buenas fuentes de aleatoriedad y no son predecibles. Si son predecibles (hash desde el momento + cuenta), todas las apuestas están desactivadas).

    
respondido por el crovers 13.10.2016 - 16:08
fuente

Lea otras preguntas en las etiquetas

Tengo una aplicación de código abierto que instala reglas de firewall, pero ¿deberían permanecer secretas sus reglas de firewall? Escáner de vulnerabilidades de aplicaciones móviles para Android e iOS [cerrado]