[請益] 用網址傳值當簡單的加密,可行嗎?

看板PHP作者 (鍵盤詩人)時間8年前 (2017/01/30 20:01), 8年前編輯推噓6(6044)
留言50則, 11人參與, 最新討論串1/1
我想要把一些課程的共筆丟到學校的網路空間,方便 同班的同學隨時觀看,以及上傳檔案,又不想要被搜尋引 擎抓到。尤其怕訪客亂傳檔案上去。 那麼我簡單的用get傳值,就是用一個if判斷式 ,如 果網址後面有?password=1234,就顯示內容,else就是一 張空白網頁,或者加一個密碼輸入框。 不用POST的原因,是我貼網址的時候就直接可以貼密 碼過去,比較方便。這樣是可行的嗎?還是說有其他不周 全的地方。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.232.162.73 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1485777707.A.111.html ※ 編輯: poeta (36.232.162.73), 01/30/2017 20:32:10

01/30 20:48, , 1F
google [get post] 應該滿多東西可以參拜的
01/30 20:48, 1F

01/30 22:58, , 2F
session?
01/30 22:58, 2F

01/30 23:01, , 3F
用ftp是不是就是妳的需求了?
01/30 23:01, 3F

01/30 23:10, , 4F
或者利用一些雲端空間限制使用者共用不是很方便?
01/30 23:10, 4F
因為預設的FTP是我的學號帳號密碼,就不太適合公開。 我開一個權限最高的資料夾,任何人可以上傳、下載、刪除東西。 雲端空間也是一個方法啦,但也就是要另外登入GOOGLE的帳密,設定權限什麼的。 我只是想問說只用GET傳值當密碼,是不是可行。 ※ 編輯: poeta (36.232.162.73), 01/30/2017 23:49:00

01/30 23:44, , 5F
知道網址不用登入就能存取的話,Google/雅虎會抓得到...
01/30 23:44, 5F

01/30 23:46, , 6F
至少要上 robots.txt,但某些情況下還是可能被索引
01/30 23:46, 6F

01/30 23:46, , 7F
請參照北市府薪資報表洩漏案...
01/30 23:46, 7F

01/30 23:47, , 8F
如果大家都有 google帳號,用 google drive + 授權限制
01/30 23:47, 8F

01/30 23:47, , 9F
會是比較安全的方案
01/30 23:47, 9F

01/30 23:48, , 10F
反過來,共筆為什麼不能給別人看...XDDDD
01/30 23:48, 10F
就是有一些內容是抄錄別人的東西,純粹自己人看的,感覺還是不適合全公開。 所以搜尋引擎看不到網頁的內容,但上傳的東西還是有可能被爬到齁.... 不過通常檔案只是暫時放上去給大家速抓的,不會放太久。 但網頁本身應該安全吧,都是寫在 if ($_GET["password"]==1234){}裡面 ※ 編輯: poeta (36.232.162.73), 01/30/2017 23:56:02

01/31 00:06, , 11F
搜尋引擎若發現「a.php?password=1234」這個網址有東西
01/31 00:06, 11F

01/31 00:07, , 12F
就有可能把這個東西顯示在結果項目裡面。但會不會顯示內文
01/31 00:07, 12F

01/31 00:07, , 13F
又是另一件事情。我不知道這算不算你所認定的「安全」...
01/31 00:07, 13F

01/31 00:09, , 14F
你要「保證」不會出事的話,這件事就不會太單純
01/31 00:09, 14F

01/31 00:10, , 15F
或你覺得一下下沒關係,那你可以考慮簡單做
01/31 00:10, 15F

01/31 00:10, , 16F
但坦白說我覺得用 google drive 比自己做更簡單...
01/31 00:10, 16F

01/31 00:11, , 17F
除非你不想拿到其他人的google帳號,或有人沒有google帳號
01/31 00:11, 17F

01/31 00:12, , 18F
而在這種狀況下,if($_POST['pwd']==1234) 的問題會比較少
01/31 00:12, 18F

01/31 00:13, , 19F
優點是搜尋引擎毛手毛腳不到這裡,缺點是要多一個表單
01/31 00:13, 19F

01/31 00:14, , 20F
拿一點麻煩交換一點安全。畢竟同一個連結一定能連到的東西
01/31 00:14, 20F

01/31 00:14, , 21F
我不會稱之為「安全」...
01/31 00:14, 21F

01/31 00:39, , 22F
謝謝指點
01/31 00:39, 22F

01/31 01:46, , 23F
Google 不會平白無故知道 ?pw=1234 除非有人公開讓他掃到
01/31 01:46, 23F

01/31 01:47, , 24F
如果確定大家不會公開這個網址,甚至做超連結在其他網頁
01/31 01:47, 24F

01/31 01:47, , 25F
那理論上可以達到保密
01/31 01:47, 25F

01/31 01:48, , 26F
但是你的需求是檔案分享,可能 FTP 或雲端硬碟更適合
01/31 01:48, 26F

01/31 01:49, , 27F
雲端硬碟設定只有瀏覽權限的網址,其實跟你網址保密一樣
01/31 01:49, 27F

01/31 09:40, , 28F
江湖謠傳Google Bot有能力猜網址。而北市府的事情則是跟
01/31 09:40, 28F

01/31 09:40, , 29F
Yahoo工具列有關的樣子
01/31 09:40, 29F

01/31 09:41, , 30F
雖然理論上 robots.txt 設好後搜尋引擎就會當作沒看到
01/31 09:41, 30F

01/31 09:43, , 31F
但終究問題是想要多高的安全性。安全是相對的不是絕對的
01/31 09:43, 31F

01/31 09:43, , 32F
如果「真的很不能露出去」,那只靠網址不是好招
01/31 09:43, 32F

01/31 09:44, , 33F
如果更接近「隨便啦,不要很容易發現就好反正一下下而已」
01/31 09:44, 33F

01/31 09:44, , 34F
那....其實是沒差。
01/31 09:44, 34F

02/01 18:24, , 35F
如果真要這樣搞的話 建議傳過去的password至少要有一
02/01 18:24, 35F

02/01 18:24, , 36F
些身份或時間的限制 很難保證這串帶著密碼的網址不會外
02/01 18:24, 36F

02/01 18:24, , 37F
流被別人使用 例如將你的密碼用timestamp server收到
02/01 18:24, 37F

02/01 18:24, , 38F
後判斷+-10分鐘內有效 加個可逆的hash函數包成密碼 認
02/01 18:24, 38F

02/01 18:24, , 39F
證後就可以用session方式讓他下次不用再驗證
02/01 18:24, 39F

02/01 18:25, , 40F
但畢竟還是不安全 可以的話像推文各位大大說的 用正規
02/01 18:25, 40F

02/01 18:25, , 41F
點的做法比較好
02/01 18:25, 41F

02/02 03:51, , 42F
駭客機器人是會自己亂試網址的,不是乖乖給你爬連結的
02/02 03:51, 42F

02/02 03:51, , 43F
,以前公司有購物網站被跑 delete=xx 刪掉幾百萬的交
02/02 03:51, 43F

02/02 03:51, , 44F
易紀錄 ...
02/02 03:51, 44F

02/02 03:52, , 45F
只要有連結就能看的東西就沒有100%安全
02/02 03:52, 45F

02/03 17:30, , 46F
自己的東西要這樣用是無所謂,比較快
02/03 17:30, 46F

02/03 17:31, , 47F
但你不能保證沒有天兵把他貼到哪個SNS上,Google就
02/03 17:31, 47F

02/03 17:32, , 48F
很容易知道,這樣就不太安全
02/03 17:32, 48F

02/10 08:41, , 49F
把密碼寫在網址等同雲端硬碟「知道網址都可看」
02/10 08:41, 49F

02/10 08:43, , 50F
只要有人貼在任何社群網站基本就是曝光了
02/10 08:43, 50F
文章代碼(AID): #1OZoih4H (PHP)
文章代碼(AID): #1OZoih4H (PHP)