アカウント名:
パスワード:
非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。
一見そうかもだが、お使いのウェブブラウザがアクセスしたURLをどっかに送ってる可能性もあるわけで。実際こうやって誤ってURLをどっかに送ってしまったときに、パスワードが設定されてれば情報そのものを見られることはなかったわけで、全然「同じ」じゃないわけですが。
PWだってキーロガーが収集してる可能性があるし、間違ってどっかに送ってしまったりするし、PW方式だと逆に認証URLや管理者IDはサービスによって固定で既知だったりで、PW漏洩しただけでアクセスされてしまうことあるし、一見全然別のように見えるけど本質は同じだよ。
URLの場合は、誰も間違ってなくても、収集する意図がなくても、Refererから漏れ出るものだよ。
反論とかじゃなくただの指摘だけど。
今どきのブラウザは Referrer-Policy の既定値が strict-origin-when-cross-origin だから意図して設定変えない限り Referer で漏れるのはドメインぐらいだよ。https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Referrer-Policy [mozilla.org]
ドメインは Referer 以前の話で、ドメイン取得すればそれだけでアクセス来るね。
サブドメインに機密情報含めるようなアホなサイトなら Referer で漏洩にはなるか。
パスワードとURLとパスワードを全部一回でご送信するアホは早々おらんだろう
Proxy サーバのアクセスログ見てると、ウイルス対策ソフトがよく URL をウイルス対策会社のサーバに投げてますね。
一見?どう観てもバカは休み休み言えだろ
総当たり攻撃の容易さが違う。
そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。
>試行の繰り返しを検出してブロックしてもいいし
普通のユーザアクセスとどうやって区別すんの?1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。「1分以内に100回アクセスがあったら」とかいう条件にするの?なら1IPアドレスで100回までは簡単に試せるね。
パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。
何桁のURLを試行するつもりなのか知らんがまぁがんばれ。
普段から検索サイトが常時やってることなんだから、頑張る必要なんかないわな。
そこはパスワードでの認証でも同じじゃない?
仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード(Basic認証でもフォームログインでも)」にする。いずれでもそれ以外(/index.htmlなど)は制限なくアクセス可能にする。
DOS攻撃し放題ですね
仮定の話なんだから、いろいろ雑なのは許してくださいよ。
一番の違いはパスワードならpasswo@dみたいな下らないのであっても不正アクセス禁止法違反に問えるのに対し 非公開URLは悪用されても何の罪にもならないってところ
普通パスワードとURLセットで流出させないだろう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
非公開URLによるアクセス制御 (スコア:0)
非公開URLもPWも知らなきゃ入れないんだから同じだろという理屈はわかるがなんかもにょるな。
Re: (スコア:0)
一見そうかもだが、お使いのウェブブラウザがアクセスしたURLをどっかに送ってる可能性もあるわけで。
実際こうやって誤ってURLをどっかに送ってしまったときに、パスワードが設定されてれば情報そのものを見られることはなかったわけで、
全然「同じ」じゃないわけですが。
Re: (スコア:0)
PWだってキーロガーが収集してる可能性があるし、間違ってどっかに送ってしまったりするし、
PW方式だと逆に認証URLや管理者IDはサービスによって固定で既知だったりで、PW漏洩しただけでアクセスされてしまうことあるし、
一見全然別のように見えるけど本質は同じだよ。
Re: (スコア:0)
URLの場合は、誰も間違ってなくても、収集する意図がなくても、Refererから漏れ出るものだよ。
Re:非公開URLによるアクセス制御 (スコア:2, 参考になる)
反論とかじゃなくただの指摘だけど。
今どきのブラウザは Referrer-Policy の既定値が strict-origin-when-cross-origin だから
意図して設定変えない限り Referer で漏れるのはドメインぐらいだよ。
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Referrer-Policy [mozilla.org]
ドメインは Referer 以前の話で、ドメイン取得すればそれだけでアクセス来るね。
サブドメインに機密情報含めるようなアホなサイトなら Referer で漏洩にはなるか。
Re: (スコア:0)
パスワードとURLとパスワードを全部一回でご送信するアホは早々おらんだろう
Re: (スコア:0)
Proxy サーバのアクセスログ見てると、ウイルス対策ソフトがよく URL をウイルス対策会社のサーバに投げてますね。
Re: (スコア:0)
一見?どう観てもバカは休み休み言えだろ
Re: (スコア:0)
総当たり攻撃の容易さが違う。
Re: (スコア:0)
そんなものURLの長さ次第じゃね。試行の繰り返しを検出してブロックしてもいいし、普通の総当たり攻撃と変わらんだろ。
Re: (スコア:0)
>試行の繰り返しを検出してブロックしてもいいし
普通のユーザアクセスとどうやって区別すんの?
1回ページ表示するだけで、ページ内コンテンツの数だけアクセス回数が発生すると思うけど。
「1分以内に100回アクセスがあったら」とかいう条件にするの?
なら1IPアドレスで100回までは簡単に試せるね。
パスワード認証だったら、同一アカウントで3回パスワード間違えたら1分ロックってするだけで済むけど。
Re: (スコア:0)
何桁のURLを試行するつもりなのか知らんがまぁがんばれ。
Re: (スコア:0)
普段から検索サイトが常時やってることなんだから、頑張る必要なんかないわな。
Re: (スコア:0)
そこはパスワードでの認証でも同じじゃない?
仮に、/internal/で始まるパスは非公開情報があるとして、「/internal/配下へのアクセスに対して1分以内に100回アクセスがあったら」みたいな条件にする。あるいは「/internal/配下のアクセスに対しての要パスワード(Basic認証でもフォームログインでも)」にする。いずれでもそれ以外(/index.htmlなど)は制限なくアクセス可能にする。
Re: (スコア:0)
DOS攻撃し放題ですね
Re: (スコア:0)
仮定の話なんだから、いろいろ雑なのは許してくださいよ。
Re: (スコア:0)
一番の違いはパスワードならpasswo@dみたいな下らないのであっても不正アクセス禁止法違反に問えるのに対し
非公開URLは悪用されても何の罪にもならないってところ
Re: (スコア:0)
普通パスワードとURLセットで流出させないだろう