使用自动生成的URL作为密码
假设我希望我的网站的访问者能够填写一份长长的表格。这对他们来说没有必要去填写它来使用这个网站,但是如果他们想给我发送一个故事,他们需要填写它。所以,他们中的一些人会希望这样做,而有些人则不会。这个表格很大,所以游客可能会想留下半满的,等一会儿再回来看完。为了使访问过程尽可能简单,我希望他只需单击“创建一个故事”链接,该链接将使访问者重定向到自动生成的url,如www.mySurvey ys.com/7Bs3h4vSWEe。在这里,访问者使用他的表单,当他想要保存它时,单击“save”,以便稍后返回完成它。表单数据以其生成的ID保存在数据库中。当访问者认为表单被正确填写并完成时,他单击“发送审查”,然后将表单交给我。
问题是:使用这个自动生成的URL作为用户的唯一凭证有多安全?我想任何嗅探器都可以很容易地得到访问者用来填写表格的网址。如何使这样的过程尽可能简单?有什么方法能让它更安全一点呢?我知道我可以使用标准的用户注册模式来完成它,但是我想让它变得更简单。
回答 2
Stack Overflow用户
发布于 2011-03-28 19:32:39
这个ID非常类似于为用户拥有一个会话id,从这个意义上说,这并不是一个妥协。一个不同之处是会话id应该总是过期。如果是出于安全考虑,则应使用HTTPS来防止窃听。
这个url值应该是一个密码名词。你也应该考虑到蛮力。如果有人在猜测许多根本不存在的密钥,请用captcha提示他们。
Stack Overflow用户
发布于 2011-03-28 20:26:57
这并不是那么安全,但嗅探基本上是唯一的攻击,除非攻击者不关心他们得到的URL,否则他们必须非常具体地针对受害者。
例如,我不会将它用于财务信息或第三方机密信息,但对于低风险信息,这很可能是可以的。
编辑:我忽略了蛮力,但同样适用,正如其他答案所暗示的那样,也有一些保护措施,比如captcha。
https://stackoverflow.com/questions/5463757
复制相似问题
腾讯云开发者
