给定一个安全域,子目录是否也安全?

给定一个安全域,子目录是否也安全?

假设 URLwww.imgur.com是一个安全域,它与在线图片共享社区相关联。鉴于此,一个人向我发送了一个指向之前“安全”域的子文件夹的链接,我们将其称为“www.imgur.com/a/subfoldername“因为我对他不够信任,我可能会认为他可能试图向我发送恶意软件或有害的东西,因此我通常会不小心打开他的链接。

尽管如此,我知道 URL 中的主域名是安全的:我想知道打开同一网页的子域名是否完全安全。换句话说,给定一个安全域,我是否应该假设所有的子域名总是安全的也一样?

答案1

一个域名可能是“安全的”,但其内容可能是不安全的。

例如:google.com安全吗?答案是“当然安全”,但实际上 Google 是全球主要感染媒介之一。这是因为它提供广告,而黑客确实可以合法购买广告空间并投放感染计算机的广告。

更多信息:您在 Google 上找到的图片、视频和文档可能会被精心设计,在您下载后在线或离线查看时感染您的计算机。如果您需要禁用某个网站的某些保护措施,请谨慎操作。

当然,一旦发现此类内容,谷歌就会禁止,但对于某些用户来说,这可能为时已晚。

我的回答是:没有安全的域,或者说子域和域一样安全,但事实并非如此。

您不应指望域名是安全的。只有您实施的保护措施才能保护您。这一点以及您的常识(不授权可疑网站过多访问您的计算机)才是您的安全。

答案2

仅通过查看 URL 无法知道这一点。您如果您已经知道该网站的运作方式和提供的内容,就可以做出正确的猜测。

域名是否“安全”取决于其所有者如何管理它。无论您询问的是子域名 (www.) 还是子路径 (/a/subfoldername),它们都与主域名或根路径并无特殊之处或区别:它们仍然以同样的方式处于所有者的控制之下,除非所有者将某些控制权交给其他人。您需要知道任何特定网站的所有者是否提供允许第三方 HTML 代码(或更具体地说是 JavaScript)的任何功能。

例如,网站 A 可能允许用户在子域上托管自己的 HTML(例如 GitHub Pages 以前的工作方式——github.com安全,但<user>.github.com实际上并不安全),网站 B 也可能允许用户在子路径上托管自己的 HTML。网站 C 可能技术上只允许安全的内容,但评论表单中可能存在安全漏洞。网站 D 可能不允许第三方内容根本,但最终遭到黑客攻击并在其主域上直接插入恶意代码。

答案3

一个典型的例子是被黑客入侵WordPress地点。

WordPress 本质上并不比任何其他内容管理系统更安全或更不安全,但仅仅由于数量庞大(约占所有公共网站的 30%!)以及简单用户名和密码的普及,它就成为了重要的目标。

此外,WordPress 还存在一个特殊的漏洞,只要你能够进入 WordPress 管理页面并拥有足够的权限来编辑页面或帖子,就可以创建一个提供恶意代码的页面网站所有者并未意识到网站已被黑客入侵。不仅如此,页面(或帖子)可能被隐藏(基于默认设置)在页面(或帖子)列表中的位置很靠后,以至于所有者甚至可能登录 WordPress 管理页面而根本注意不到任何异常。页面(或帖子)甚至可以被“隐藏”,以至于无法从网站的其他页面导航到它,而只能通过直接 URL 访问 - 该 URL 是作为垃圾邮件活动的一部分发送的。有时,网站所有者只有在收到问题报告或网站因托管已知恶意软件而开始被阻止时才会发现。

相关内容