作者red0whale (red whale)
看板Soft_Job
標題[請益] HTTP協議網頁不去訪問也無網頁引述該網址是否就無危險疑慮?
時間Fri Jan 22 20:49:59 2021
現在網路資訊主流皆認為傳統的HTTP協議是不安全的
因為沒有任何的加密措施
任何的上傳及下載其資訊皆可能被他人揭露甚至竄改
那麼假設我有個沒沒無聞、完全都沒有其他任何人(包含我自己)曾訪問過的HTTP協議網頁
(也就是完全沒有Client丟任何request到那個網頁站點)
也沒有任何網頁及網站提及或引述這個網頁的網址(這樣搜尋引擎也無從找到這個網頁)
更沒有其他任何人知道這個網頁的網址(就我知道而已,但我自己也故意不丟request到那個網址)
簡而言之,就是這個網頁存在於我的伺服器內,但:
1. 就是沒其他人知道這個網頁的存在
2. 這個網頁的網址也沒有被其他任何網頁引述過
3. 也從來沒有被任何端點訪問過這個網頁的網址
在我的網頁伺服器是連上網的狀態下
那麼這個網頁裡包含的資訊用另外一個角度來看是不是反而還比那些成天遭威脅的大站還來得「安全」呢?
(其實我知道這並不叫真正的安全,這頂多就只是沒有受到攻擊和偷窺的網頁而已。)
我們是不是可以形容這種「看似安全」的網頁:
「在狂風暴雨的摧殘下,在隱晦角落裡僥倖躲過的生存者」?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.248.200.185 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1611319802.A.5EF.html
1F:→ MOONY135: 那你不要聯網不是更安全 01/22 20:55
2F:噓 alihue: 當 google 爬蟲塑膠? 01/22 20:56
3F:→ samchung: 網路線拔掉就更安全了,但這個網頁存在的意義是什麼? 01/22 20:57
重點不是有沒有意義
我當然知道這樣做根本毫無意義
我只是想確認並了解一般人會認為傳統的HTTP是不安全的是不是就只是因為它上傳和下載的資訊是裸露的
甚至可能是會被竄改的這樣而已
而我今天會提出這個例子只是想說如果有個HTTP網頁它「與世隔絕」的話
那它是不是也沒有所謂危不危險的疑慮這樣罷了
4F:噓 ALiangLiang: 我沒想到在soft版也可以看到廢文 01/22 21:02
※ 編輯: red0whale (111.248.200.185 臺灣), 01/22/2021 21:09:38
5F:噓 pttano: 真是有見地,千年一遇的難得天才 01/22 21:11
6F:噓 pilor: 公蝦毀 01/22 21:12
7F:→ chuegou: 連dns伺服器都不認得 那還有什麼好討論的? 01/22 21:13
8F:噓 tsao1211: 只要聯網就會被程式掃到,這是基本常識 01/22 21:28
請問例如哪個程式?
假設我有個網頁網址叫:
http://www.example.com/abc20102544158/skdi9e8347/dkdif7rjf_skwix0.hsx
這個網頁從來沒被訪問過也沒有網頁提述到這個網址
請問有哪支程式有辦法掃到我這個網頁嗎?
如果真的有的話,可以告訴我是哪個程式可以這麼厲害?
9F:推 mercurycgt68: 沒錯 完全不出門也不會感染武漢肺炎 道理一樣 01/22 21:28
※ 編輯: red0whale (111.248.200.185 臺灣), 01/22/2021 21:33:26
10F:噓 bill0205: 建議你拔掉插頭更安全 然後只要你連網 都有被掃到的風險 01/22 22:02
11F:→ kaltu: 你可以架看看啊,自己開一台電腦架起來port forward到外網 01/22 22:17
12F:→ kaltu: 我自己是再怎麼藏大概掛一個禮拜就會開始有機器人的request 01/22 22:17
13F:→ kaltu: 了啦 01/22 22:17
14F:噓 wangshichen: 原來是薛丁格的網頁呀 01/22 22:31
15F:→ MOONY135: 與世隔絕是要給誰用 01/22 22:48
16F:→ CMJ0121: 你這跟簽一張一千萬本票藏在你家裡 說比放銀行安全一樣 01/22 22:55
17F:推 pichubaby: 你這個不是就是在說192.168的企業內網嗎? 01/22 22:56
18F:噓 SoftwareSing: 沒有用的網頁有什麼討論價值 01/22 23:12
19F:推 Gaitz: 掃網頁又不一定是用 domain name。有連網就有 IP 。另外你 01/22 23:32
20F:→ Gaitz: 有聽過 https 嗎 :) 01/22 23:32
21F:噓 angusyu: 你太閒嗎? 01/22 23:46
22F:→ viper9709: 二樓正解 01/23 00:23
23F:推 ccczz: 你的IP會被掃到,open ports/services會被掃到,那就可以透過 01/23 00:39
24F:→ ccczz: 各種漏洞攻擊server 誰管你的網址是什麼 01/23 00:39
25F:推 Wishmaster: 那你不要申請dns然後允許IP當host header怎樣 XD 01/23 00:57
26F:噓 tnfshjcc: 洗文章還是作報告? 01/23 01:03
27F:噓 Raymond0710: 0.0.0.0 - 255.255.255.255 所有80 port 都打一次你 01/23 01:41
28F:→ Raymond0710: 不就破工 01/23 01:41
29F:噓 hpyhacking: 薛丁格的網頁,我要開網頁伺服器又不要讓人掃到,到 01/23 03:18
30F:→ hpyhacking: 底什麼邏輯 01/23 03:18
31F:噓 hakosaki: 去架站 自己看流量 01/23 06:35
32F:→ rei0: 那不叫安全 叫沒有價值 01/23 07:25
33F:→ jobintan: 那前端用flutter web看看會不會被掃到?wwwwww 01/23 08:53
34F:→ qpowjohn: 從部署的角度來說,你的網站只要連上網就會有對應的IP 01/23 10:03
35F:→ qpowjohn: 可以被串 01/23 10:03
36F:→ qpowjohn: 但可以在前端加一套設備,僅允許白名單的domain建立連 01/23 10:05
37F:→ qpowjohn: 線,來達到你要的目的 01/23 10:05
38F:→ spfy: 不用對這ID認真 他要的是天空之城 存在但沒人看過的那種 01/23 10:21
39F:噓 meowyih: 不要耍寶好嗎? 01/23 11:11
40F:噓 alpe: 觀念0分,你討論的議題在client.沒client討論這議題? 01/23 12:11
41F:→ abraxas: 這是哲學問題,不是軟體問題 01/23 12:41
42F:→ abraxas: 假如一棵樹在森林裡倒下而沒有人聽見,它有沒有發出聲音 01/23 12:42
43F:→ ssccg: 有經過驗證的才比較安全,你這種想法有個說法叫security by 01/23 14:28
44F:→ ssccg: obscurity你可以自己看看 01/23 14:28
45F:→ Dinjang: 沒有client 談網路安全有意義嗎? 01/23 17:06
46F:→ IcecreamHsu: 原PO連IP是什麼都不知道吧 01/23 20:22
47F:噓 MoonCode: 01/23 23:26
48F:→ lturtsamuel: 你網域怎麼申請的 跟人申請就會留紀錄 01/24 00:20
49F:推 jyunwei: 嗯一對沒結合的精子與卵子也算是最健康的人了吧 01/24 01:18
50F:噓 remmurds: 廢文 01/24 17:39
51F:推 odahawk: 我建議你去把TCPIP入門書讀清楚再來問 01/25 11:37