→ imhaha: google [get post] 應該滿多東西可以參拜的 01/30 20:48
推 lambo: session? 01/30 22:58
推 aaa7513231: 用ftp是不是就是妳的需求了? 01/30 23:01
推 zop: 或者利用一些雲端空間限制使用者共用不是很方便? 01/30 23:10
因為預設的FTP是我的學號帳號密碼,就不太適合公開。
我開一個權限最高的資料夾,任何人可以上傳、下載、刪除東西。
雲端空間也是一個方法啦,但也就是要另外登入GOOGLE的帳密,設定權限什麼的。
我只是想問說只用GET傳值當密碼,是不是可行。
※ 編輯: poeta (36.232.162.73), 01/30/2017 23:49:00
推 GALINE: 知道網址不用登入就能存取的話,Google/雅虎會抓得到... 01/30 23:44
→ GALINE: 至少要上 robots.txt,但某些情況下還是可能被索引 01/30 23:46
→ GALINE: 請參照北市府薪資報表洩漏案... 01/30 23:46
→ GALINE: 如果大家都有 google帳號,用 google drive + 授權限制 01/30 23:47
→ GALINE: 會是比較安全的方案 01/30 23:47
→ GALINE: 反過來,共筆為什麼不能給別人看...XDDDD 01/30 23:48
就是有一些內容是抄錄別人的東西,純粹自己人看的,感覺還是不適合全公開。
所以搜尋引擎看不到網頁的內容,但上傳的東西還是有可能被爬到齁....
不過通常檔案只是暫時放上去給大家速抓的,不會放太久。
但網頁本身應該安全吧,都是寫在 if ($_GET["password"]==1234){}裡面
※ 編輯: poeta (36.232.162.73), 01/30/2017 23:56:02
推 GALINE: 搜尋引擎若發現「a.php?password=1234」這個網址有東西 01/31 00:06
→ GALINE: 就有可能把這個東西顯示在結果項目裡面。但會不會顯示內文 01/31 00:07
→ GALINE: 又是另一件事情。我不知道這算不算你所認定的「安全」... 01/31 00:07
→ GALINE: 你要「保證」不會出事的話,這件事就不會太單純 01/31 00:09
→ GALINE: 或你覺得一下下沒關係,那你可以考慮簡單做 01/31 00:10
→ GALINE: 但坦白說我覺得用 google drive 比自己做更簡單... 01/31 00:10
→ GALINE: 除非你不想拿到其他人的google帳號,或有人沒有google帳號 01/31 00:11
→ GALINE: 而在這種狀況下,if($_POST['pwd']==1234) 的問題會比較少 01/31 00:12
→ GALINE: 優點是搜尋引擎毛手毛腳不到這裡,缺點是要多一個表單 01/31 00:13
→ GALINE: 拿一點麻煩交換一點安全。畢竟同一個連結一定能連到的東西 01/31 00:14
→ GALINE: 我不會稱之為「安全」... 01/31 00:14
→ poeta: 謝謝指點 01/31 00:39
→ MangoTW: Google 不會平白無故知道 ?pw=1234 除非有人公開讓他掃到 01/31 01:46
→ MangoTW: 如果確定大家不會公開這個網址,甚至做超連結在其他網頁 01/31 01:47
→ MangoTW: 那理論上可以達到保密 01/31 01:47
→ MangoTW: 但是你的需求是檔案分享,可能 FTP 或雲端硬碟更適合 01/31 01:48
→ MangoTW: 雲端硬碟設定只有瀏覽權限的網址,其實跟你網址保密一樣 01/31 01:49
推 GALINE: 江湖謠傳Google Bot有能力猜網址。而北市府的事情則是跟 01/31 09:40
→ GALINE: Yahoo工具列有關的樣子 01/31 09:40
→ GALINE: 雖然理論上 robots.txt 設好後搜尋引擎就會當作沒看到 01/31 09:41
→ GALINE: 但終究問題是想要多高的安全性。安全是相對的不是絕對的 01/31 09:43
→ GALINE: 如果「真的很不能露出去」,那只靠網址不是好招 01/31 09:43
→ GALINE: 如果更接近「隨便啦,不要很容易發現就好反正一下下而已」 01/31 09:44
→ GALINE: 那....其實是沒差。 01/31 09:44
→ thirteeen: 如果真要這樣搞的話 建議傳過去的password至少要有一 02/01 18:24
→ thirteeen: 些身份或時間的限制 很難保證這串帶著密碼的網址不會外 02/01 18:24
→ thirteeen: 流被別人使用 例如將你的密碼用timestamp server收到 02/01 18:24
→ thirteeen: 後判斷+-10分鐘內有效 加個可逆的hash函數包成密碼 認 02/01 18:24
→ thirteeen: 證後就可以用session方式讓他下次不用再驗證 02/01 18:24
→ thirteeen: 但畢竟還是不安全 可以的話像推文各位大大說的 用正規 02/01 18:25
→ thirteeen: 點的做法比較好 02/01 18:25
→ xdraculax: 駭客機器人是會自己亂試網址的,不是乖乖給你爬連結的 02/02 03:51
→ xdraculax: ,以前公司有購物網站被跑 delete=xx 刪掉幾百萬的交 02/02 03:51
→ xdraculax: 易紀錄 ... 02/02 03:51
→ xdraculax: 只要有連結就能看的東西就沒有100%安全 02/02 03:52
→ AizawaYuuiti: 自己的東西要這樣用是無所謂,比較快 02/03 17:30
→ AizawaYuuiti: 但你不能保證沒有天兵把他貼到哪個SNS上,Google就 02/03 17:31
→ AizawaYuuiti: 很容易知道,這樣就不太安全 02/03 17:32
→ NioTW: 把密碼寫在網址等同雲端硬碟「知道網址都可看」 02/10 08:41
→ NioTW: 只要有人貼在任何社群網站基本就是曝光了 02/10 08:43