Je souhaite créer une page Web que seuls moi et une autre personne peuvent consulter.
Je ne souhaite utiliser aucune authentification (nom d'utilisateur / mot de passe, certificats, etc.).
Ma question est la suivante: si je sers le site Web à partir de mon propre serveur Web et que je ne place pas le contenu dans le répertoire racine sur le port 80 (c'est-à-dire, mon siteweb.com/hidden), y a-t-il moyen que quelqu'un d'autre puisse trouve le? D'après ce que j'ai lu sur les robots Web, ils ne trouvent que des pages contenant des liens. Existe-t-il un autre vecteur d'attaque auquel je ne pense pas? Outre une recherche bruteforce (mywebsite.com/brute/force/this/path)?
webserver
nginx
web-crawler
Fromagegraterr
la source
la source
Réponses:
Vous avez raison de dire que la principale méthode de découverte de page d'un index Web (comme Google) consiste à explorer des liens. Cependant, il existe d'autres méthodes de recherche de sites Web.
Par exemple, Google dispose de ses propres services DNS qui peuvent l'aider à découvrir de nouveaux sites de deux manières:
Si vous enregistrez votre domaine directement auprès de Google, ils seraient certainement au courant du nouveau site Web.
L'enregistrement du domaine nécessite la propagation publique, de sorte que Google recevra éventuellement la nouvelle entrée.
Évidemment, si vous hébergez également le site sur les serveurs d'un indexeur, celui-ci pourrait essayer d'analyser l'intégralité de votre site.
Mais il ne semble pas que vous fassiez l'une ou l'autre de ces choses. Si tout ce que vous essayez de protéger est la page / répertoire unique (plutôt que le domaine / serveur entier), vous ne l'hébergez pas sur les services d'un index, et vous n'enregistrez pas de domaine pour votre chemin caché, votre principal Le souci serait de vous assurer que l'indexation des annuaires n'est pas possible sur votre site.
Par exemple, avec Apache, vous pouvez y parvenir en incluant un fichier .htaccess dans votre répertoire racine avec
Options -Indexes
ou en supprimant laIndexes
directive dans la configuration du site lui-même:devient
Vous pouvez également vous assurer que vous avez au moins un fichier index.html d'espace réservé dans chaque dossier à desservir par le serveur, plutôt que l'index de répertoire.
la source
Ajouter un sha256 comme nom de chemin, alors ça devrait aller. Gardez une trace sur les fichiers journaux.
la source