这种情况到底有多不安全,请注意,由于网站应用程序的限制,我无法使用 SSL(是的,想想吧!):
- 我们有一个只有需要知道的用户才知道的域名
- 用户将在此网站输入用户名+密码详细信息
如果有人不知道 URL,那么拦截登录用户凭证有多容易?
就像我说的,我们会使用 SSL,但应用程序在 SSL 连接下无法正常工作。
答案1
如果有人不知道 URL,那么拦截登录用户凭证有多容易?
如果您没有加密流量,拦截登录凭据将是一件轻而易举的事。攻击者不需要知道 URL —— 这根本不是问题。星巴克的顾客使用开放的 wifi,会传输所有未加密的信息,包括用户名、密码和您的“未知”URL 等,任何有嗅探器的人都可以看到。同样的事情也适用于非交换有线网络上的用户。对于有线交换网络,攻击者可以使用镜像端口或类似端口。
修复您的应用程序以便使用 SSL。
答案2
除了已经讨论过的未加密时的流量拦截之外,也许您最大的问题是通过隐蔽性实现的安全性。
您相信您的用户不会说话。
您要将“秘密”域名提供给那些将在公共场合使用它的人吗?您的用户真的会担心安全问题吗?我知道有些人甚至不保护他们的 ATM PIN。那么那些被解雇或辞职的用户怎么办?或者在电话中与您讨论某些问题以获得支持,然后公开您的秘密 URL 吗?
如果你在互联网上有这个域名,它就会出现在数据库中,搜索引擎的蜘蛛会搜索它。某些东西一定会以某种方式出现。
简而言之,如果你有用户,而你又依赖他们不谈论这件事,那么你就会遇到问题。
当然,这还包括肩窥、中间人拦截等行为……
简短的回答:它非常非常不安全。