我想创建一个只有我和其他人才有权查看的网页。
我不想在其上使用任何身份验证(用户名/密码、证书等)。
我的问题是:如果我从自己的 Web 服务器提供网站,并且不将内容放在端口 80 上的根目录中(即 mywebsite.com/hidden),其他人是否有办法找到它?从我读到的有关网络爬虫的信息来看,它们只会找到有链接的页面。有没有我没有想到的其他攻击媒介?除了暴力搜索(mywebsite.com/brute/force/this/path)?
答案1
您说得对,网络索引器(如 Google)发现网页的主要方法是通过抓取链接。但是,还有其他查找网站的方法。
例如,Google 有自己的 DNS 服务,可以通过两种方式帮助其发现新网站:
如果您直接向 Google 注册域名,他们肯定会知道这个新网站。
注册域名需要公开传播,因此 Google 最终会收到新的条目。
显然,如果你也主持人索引器服务器上的站点,他们可以尝试抓取你的整个网站。
但听起来你并没有做这两件事。如果你试图保护的只是单个页面/目录(而不是整个域/服务器),你没有将其托管在索引器服务上,也没有为隐藏路径注册域,那么你的主要关注点是确保在你的网站上无法进行目录索引。
例如,使用 Apache,您可以通过在根目录中包含 .htaccess 文件或Options -Indexes删除Indexes站点配置本身中的指令来实现此目的:
<Directory "/path/to/your/site">
Options Indexes OtherOptions
</Directory>
变成
<Directory "/path/to/your/site">
Options OtherOptions
</Directory>
或者,确保每个文件夹中至少有一个占位符 index.html 文件供服务器提供服务,而不是目录索引。
答案2
添加 sha256 作为路径名,然后就没问题了。跟踪日志文件。