Все ли URL доступны для обнаружения? Можете ли вы безопасно скрыть информацию в случайном URL?

Question

Я долго об этом думал.

---

Допустим, у меня есть веб-приложение на

www.example.com

Если в приложении n пользователей, может ли каждый войти в систему, просто используя URL-адрес?

например. Чтобы пользователь 1 получил доступ к своей части приложения, он должен посетить

www.example.com / пользователь / 1

В этом случае схема URL легко угадывается.

Но что, если это не может быть легко угадано? Например. Чтобы пользователь 1 получил доступ к своей части приложения, он должен посетить

www.example.com / user / [случайная строка]

---

Эти случайные URL доступны для обнаружения?

Под случайным URL я подразумеваю URL, содержащий очень длинную строку случайных символов. Если бы кто-то использовал этот URL в качестве пароля, было бы очень трудно догадаться.

А во-вторых, более практичный вопрос: Можно ли предположить, что никто другой не имеет доступа к своей части приложения?

Или другой способ выяснить, является ли угадывание случайной строки единственным способом доступа к чьей-либо части приложения?

---

Мотивация для разработки приложения таким образом заключается в том, что не требуется вход / выход из системы.

Спасибо

Answer 1

Даже если вы поместите случайную строку вместо идентификатора пользователя, такая же проблема все еще существует. Если кто-то угадает или каким-либо образом получает случайное число другого пользователя, он или она все равно сможет получить к нему доступ.

То, что вы пытаетесь назвать, называется безопасностью через неизвестность. Не стоит планировать, чтобы ваша общая безопасность основывалась на сокрытии или скрытии только конфиденциальных данных.

Эти случайные URL доступны для обнаружения?

Обнаруживается поисковой системой? Это зависит от настроек вашего сайта. Удобный доступ? Да.

Можно ли предположить, что никто другой не имеет доступа к своей части приложения?

Я не уверен, что вы имели в виду, у вас будет разъяснение этой части.