作者red0whale (red whale)
看板Soft_Job
标题[请益] HTTP协议网页不去访问也无网页引述该网址是否就无危险疑虑?
时间Fri Jan 22 20:49:59 2021
现在网路资讯主流皆认为传统的HTTP协议是不安全的
因为没有任何的加密措施
任何的上传及下载其资讯皆可能被他人揭露甚至窜改
那麽假设我有个没没无闻、完全都没有其他任何人(包含我自己)曾访问过的HTTP协议网页
(也就是完全没有Client丢任何request到那个网页站点)
也没有任何网页及网站提及或引述这个网页的网址(这样搜寻引擎也无从找到这个网页)
更没有其他任何人知道这个网页的网址(就我知道而已,但我自己也故意不丢request到那个网址)
简而言之,就是这个网页存在於我的伺服器内,但:
1. 就是没其他人知道这个网页的存在
2. 这个网页的网址也没有被其他任何网页引述过
3. 也从来没有被任何端点访问过这个网页的网址
在我的网页伺服器是连上网的状态下
那麽这个网页里包含的资讯用另外一个角度来看是不是反而还比那些成天遭威胁的大站还来得「安全」呢?
(其实我知道这并不叫真正的安全,这顶多就只是没有受到攻击和偷窥的网页而已。)
我们是不是可以形容这种「看似安全」的网页:
「在狂风暴雨的摧残下,在隐晦角落里侥幸躲过的生存者」?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.248.200.185 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1611319802.A.5EF.html
1F:→ MOONY135: 那你不要联网不是更安全 01/22 20:55
2F:嘘 alihue: 当 google 爬虫塑胶? 01/22 20:56
3F:→ samchung: 网路线拔掉就更安全了,但这个网页存在的意义是什麽? 01/22 20:57
重点不是有没有意义
我当然知道这样做根本毫无意义
我只是想确认并了解一般人会认为传统的HTTP是不安全的是不是就只是因为它上传和下载的资讯是裸露的
甚至可能是会被窜改的这样而已
而我今天会提出这个例子只是想说如果有个HTTP网页它「与世隔绝」的话
那它是不是也没有所谓危不危险的疑虑这样罢了
4F:嘘 ALiangLiang: 我没想到在soft版也可以看到废文 01/22 21:02
※ 编辑: red0whale (111.248.200.185 台湾), 01/22/2021 21:09:38
5F:嘘 pttano: 真是有见地,千年一遇的难得天才 01/22 21:11
6F:嘘 pilor: 公虾毁 01/22 21:12
7F:→ chuegou: 连dns伺服器都不认得 那还有什麽好讨论的? 01/22 21:13
8F:嘘 tsao1211: 只要联网就会被程式扫到,这是基本常识 01/22 21:28
请问例如哪个程式?
假设我有个网页网址叫:
http://www.example.com/abc20102544158/skdi9e8347/dkdif7rjf_skwix0.hsx
这个网页从来没被访问过也没有网页提述到这个网址
请问有哪支程式有办法扫到我这个网页吗?
如果真的有的话,可以告诉我是哪个程式可以这麽厉害?
9F:推 mercurycgt68: 没错 完全不出门也不会感染武汉肺炎 道理一样 01/22 21:28
※ 编辑: red0whale (111.248.200.185 台湾), 01/22/2021 21:33:26
10F:嘘 bill0205: 建议你拔掉插头更安全 然後只要你连网 都有被扫到的风险 01/22 22:02
11F:→ kaltu: 你可以架看看啊,自己开一台电脑架起来port forward到外网 01/22 22:17
12F:→ kaltu: 我自己是再怎麽藏大概挂一个礼拜就会开始有机器人的request 01/22 22:17
13F:→ kaltu: 了啦 01/22 22:17
14F:嘘 wangshichen: 原来是薛丁格的网页呀 01/22 22:31
15F:→ MOONY135: 与世隔绝是要给谁用 01/22 22:48
16F:→ CMJ0121: 你这跟签一张一千万本票藏在你家里 说比放银行安全一样 01/22 22:55
17F:推 pichubaby: 你这个不是就是在说192.168的企业内网吗? 01/22 22:56
18F:嘘 SoftwareSing: 没有用的网页有什麽讨论价值 01/22 23:12
19F:推 Gaitz: 扫网页又不一定是用 domain name。有连网就有 IP 。另外你 01/22 23:32
20F:→ Gaitz: 有听过 https 吗 :) 01/22 23:32
21F:嘘 angusyu: 你太闲吗? 01/22 23:46
22F:→ viper9709: 二楼正解 01/23 00:23
23F:推 ccczz: 你的IP会被扫到,open ports/services会被扫到,那就可以透过 01/23 00:39
24F:→ ccczz: 各种漏洞攻击server 谁管你的网址是什麽 01/23 00:39
25F:推 Wishmaster: 那你不要申请dns然後允许IP当host header怎样 XD 01/23 00:57
26F:嘘 tnfshjcc: 洗文章还是作报告? 01/23 01:03
27F:嘘 Raymond0710: 0.0.0.0 - 255.255.255.255 所有80 port 都打一次你 01/23 01:41
28F:→ Raymond0710: 不就破工 01/23 01:41
29F:嘘 hpyhacking: 薛丁格的网页,我要开网页伺服器又不要让人扫到,到 01/23 03:18
30F:→ hpyhacking: 底什麽逻辑 01/23 03:18
31F:嘘 hakosaki: 去架站 自己看流量 01/23 06:35
32F:→ rei0: 那不叫安全 叫没有价值 01/23 07:25
33F:→ jobintan: 那前端用flutter web看看会不会被扫到?wwwwww 01/23 08:53
34F:→ qpowjohn: 从部署的角度来说,你的网站只要连上网就会有对应的IP 01/23 10:03
35F:→ qpowjohn: 可以被串 01/23 10:03
36F:→ qpowjohn: 但可以在前端加一套设备,仅允许白名单的domain建立连 01/23 10:05
37F:→ qpowjohn: 线,来达到你要的目的 01/23 10:05
38F:→ spfy: 不用对这ID认真 他要的是天空之城 存在但没人看过的那种 01/23 10:21
39F:嘘 meowyih: 不要耍宝好吗? 01/23 11:11
40F:嘘 alpe: 观念0分,你讨论的议题在client.没client讨论这议题? 01/23 12:11
41F:→ abraxas: 这是哲学问题,不是软体问题 01/23 12:41
42F:→ abraxas: 假如一棵树在森林里倒下而没有人听见,它有没有发出声音 01/23 12:42
43F:→ ssccg: 有经过验证的才比较安全,你这种想法有个说法叫security by 01/23 14:28
44F:→ ssccg: obscurity你可以自己看看 01/23 14:28
45F:→ Dinjang: 没有client 谈网路安全有意义吗? 01/23 17:06
46F:→ IcecreamHsu: 原PO连IP是什麽都不知道吧 01/23 20:22
47F:嘘 MoonCode: 01/23 23:26
48F:→ lturtsamuel: 你网域怎麽申请的 跟人申请就会留纪录 01/24 00:20
49F:推 jyunwei: 嗯一对没结合的精子与卵子也算是最健康的人了吧 01/24 01:18
50F:嘘 remmurds: 废文 01/24 17:39
51F:推 odahawk: 我建议你去把TCPIP入门书读清楚再来问 01/25 11:37