可以使用随机URL代替密码吗？[关闭]

使用像这样的随机字符构造的URL是否被认为“安全”？

http://example.com/EU3uc654/Photos

我想将一些文件/图片库放置在网络服务器上，这些文件/图片库只能由一小部分用户访问。我主要担心的是，搜索引擎或在我的网站周围乱窜的好奇的高级用户不应捡起这些文件。

我已经设置了一个.htaccess文件，只是为了注意到单击http://user:pass@url/链接在某些浏览器/电子邮件客户端上无法很好地工作，提示对话框和警告消息使我不太懂计算机的用户感到困惑。

是否“可以”取决于图像的敏感程度。

如果您不使用SSL，则URL，HTML和图像本身将被缓存在用户的计算机上。这可能会泄漏，但我认为不太可能。

浏览器工具栏，尤其是由运行爬网程序的公司（例如Alexa和Netcraft）制造的浏览器工具栏，可以将访问的URL报告回其父站点，以使该机器程序以后可以爬网。

正确的身份验证（例如HTTP auth或POST变量）不应以这种方式缓存或报告回任何父网站。

另一种技术是使用唯一且短暂的URL。这样，即使它们确实泄漏，也没关系。当然，您必须不断更新新URL的合法用户。

不，不是真的，这只是通过隐秘获得的安全性，根本不是安全性。在没有某种形式的实际保护的情况下，可以直接从Internet访问的任何内容都将被发现，索引和缓存。

他们将在此过程中记录在每个代理中。除非有人真正发布了链接，否则您将对好奇的高级用户和搜索引擎感到安全。

当然要注意生成器的随机性。

我猜您不是在这里寻找超高安全性。

隐秘的URL方便一次性下载，但没有提供真正的保护。您需要注意，并不是所有的漫游器都遵守robots.txt文件，因此，如果网站中任何地方的链接都指向伪装的文件夹，那么它将被某些搜索引擎索引，并且一旦启动，就不会返回。

我建议您使用一个简单的基于.htaccess的身份验证系统来代替您的提议。

我想对混淆后的网址添加另一个可能更令人恐惧的观点，例如本例。即使您的网址没有意外共享，也可以通过以下方式将其提交给搜索引擎：

• 访客的ISP。HTTP访问正在被收集，数据挖掘，有时甚至被ISP完全出售给第三方。
• 访客的云存储。有许多服务可免费存储书签和历史记录，以在浏览器安装之间进行同步。除非它们像Mozilla一样对数据进行预加密，否则可能暗示相同的数据挖掘实践。

YMMV。

过去，我使用类似的方法来允许用户在文档管理系统上创建共享空间。共享内容不是最高机密，因此系统不必是超级安全的。

我只是让每个用户URL都包含其电子邮件的过期时间戳记和MD5。

因此，URL看起来像：

http://my-url.com/1343689677-cba1f2d695a5ca39ee6f343297a761a4/

有了以上所述，如果用户在7月30日之前输入了电子邮件user@gmail.com，那么他们将是一个很好的选择。

不完全是军事级的安全，但确实做到了。

这与在URL中存储sessionID共享相同的漏洞。有人可以不小心将链接复制粘贴到其他人，而忘记在屏幕快照中对其进行审查，或者让某人查找该链接，因为它并不像密码那样带有星号。

另外，如果某些内容受密码保护，则通过登录您知道它是秘密。如果获得链接，则可以轻松地忘记它。

另一件事是删除用户特权。您可以删除用户，因此该用户不能再登录，但可以带有链接。您需要将其全部更改，并向所有人（删除的用户除外）发送新的URL。

我认为如果这些只是图像也不错。但是，如果这些图像是您确实不希望共享的图像；）那么我建议您使用更长的随机单词，更像是一个呈现的单词。

编辑：将？DO_NOT_SHARE_THIS_LINK添加到URL：http : //example.com/DO_NOT_SHARE_THIS_LINK/EU3uc654-this-should-be-long-beer/Photos ?DO_NOT_SHARE_THIS_LINK

这就是例如Kongregate嵌入在其他地方托管的游戏时所做的事情（它将身份验证凭据放入框架的url中）。顺便说一句，Kongregate还使用访客访问链接来发布未发布的游戏，就像您要使用的方式一样。