1
lambdaq 35 天前 1
pastebin 里很多这种啊。私密唯一链接
不过国产浏览器都会各种官家、安全、助手帮你扫描网址。。。。 |
2
beimenjun 35 天前
我觉得不可行,因为你的浏览数据可能会被浏览器共享。
|
3
BG7ZAG 35 天前
机器人一天不知道爬多少回~
还不如自建个 vaultwarden 密码管理器 |
4
totoro625 35 天前 9
就算是公开网站上放也没事
你甚至可以在这个帖子里放一串密码 只要你不说,别人也不知道这是哪个账户的密码 比如:xqMqR9v*RBP9C!AfNXo 你可以在任意第几位增加一个特殊字符,或减少一个字符,这都是独一无二的密码 |
5
wkj89 35 天前
vaultwarden 是犯了天条么 何况 vaultwarden 还有 OTP
|
6
creazyrabbit 35 天前
你可以放在多个网站上,比如 a 站放密码前两位,b 站放四五位,c 站放 67 位,谁都不知道是啥
|
7
ttgo OP |
8
fsq 35 天前 3
只要是公网上的网页,就不可能只有你自己知道
|
10
dhb233 35 天前
肯定是不安全,如果不是那么重要的密码,给网站访问加个简单的验证?
|
11
tool2dx 35 天前
我家的 ipv6 only 服务,看日志没人来访问。
ipv4 会被扫,总共就那么几个,全扫也不费很多时间。 |
12
renfei 35 天前
不可行,只要你访问过,浏览器、插件、路由器等所有经过的设备和软件,都知道这个网址的存在,不排除他们会去爬取扫描
|
13
bug403 35 天前
当年好多盗 qq 的木马,盗取以后直接上传到网站的 txt 文件,,,然后被搜索引擎可以检索出一些关键字,,,
|
14
wu67 35 天前
> 他们怎么扫啊?总不能遍历所有网址吧?
你好, 会的. 我那个小鸡, 开着 nginx, 天天被扫, 各种 wp 相关的目录爆破...后来心烦了, 直接在 cf 把省外和国外的域名访问直接 ban 了. 建议至少配一下 nginx 的 auth_basic_user_file |
15
ttgo OP |
16
wu67 35 天前
@ttgo 我意思是只要你开了 域名解析 http 服务, 他们就会来搞, 什么路径根本不重要. 即使你只挂上 nginx 的欢迎页, 那些爬虫一样会来疯狂访问. 感觉是 dns 服务商跟那些爬虫公司有什么 py 交易...
|
17
Whiplash55 35 天前
该扫还是扫,网站的本质就是指向 ip 。
你可以试一下租一个 cloud 服务器,里面什么都不做,也不提供任何访问外部访问,,就单纯创建实例后打一下 log ,一天有多少人来对着你的 ip 碰撞 SSH 密码登录。 那别人都能扫到你的 ip 来碰撞了,想扫你的网页地址也是可以的。 |
18
chqome 35 天前
肯定可行啊,你可以定期换密码不就行了
|
19
InDom 35 天前
|
20
fru1t 35 天前
太多工具可以了,CTF 没玩过?
|
21
SuperMild 35 天前
可以参考一下我这个项目 https://github.com/ahui2016/MiMa.html
就一个 html 文件,纯前端,单文件,真加密。 关键技术是 TiddlyWiki 和 Stanford Javascript Crypto Library |
22
coolloves 35 天前
加个简单密码验证就可以了
|
23
zhangfeiwudi 35 天前
直接放到 github 私有仓库不更好??
|
24
iyiluo 35 天前
有些后台登陆页面地址就是这样的,但是把密码放在这里,还是要慎重
|
26
pkoukk 35 天前
可行啊,只放密码不放账号,不放是哪个站点的密码,就完全可以啊
但是你要是把站点+账号+密码都放上去,那一定会被扫到 |
27
qianckjuan 35 天前
别放密码明文全部就行了,只放提示
|
28
dbit 35 天前
加个微信扫描登录
|
29
dddd1919 35 天前 1
直接密码放公网上,然后留下一段话:
“想要我的宝藏吗?如果想要的话,那就到网络上去找吧,我全部都放在那里。” 赛博大航海时代来了 |
30
Greendays 35 天前 2
在油管上传一个视频,然后用视频 ID 做密码
|
31
BadFox 35 天前
[无认证] 但是 [仅自己知道] 的 [网页] 放 [明文] 密码
每个 [] 内都可以优化下增加安全性。 |
32
songshu128 35 天前
有扫描,无推广无收录就自己玩的,看网站日志依然有很多其他访问。
|
33
TellMeWHY 35 天前
让网关和云服务器保持一条 site-to-site VPN 吧,敏感信息直接还是用内网地址访问,手机在外就拨个 L2TP VPN 按纽再访问也不麻烦
要是嫌 VPN 麻烦,还可以在你的网站插入一个检测 IP 地址段是否合规的函数,在敏感页面调用一下,日常偶尔维护一下 IP 白名单,也是一个可行的方法 安全第一 |
34
villivateur 35 天前
http 协议的话一切都白搭。
https 的话,要看你的浏览器会不会记录 url ,以及浏览器自身会不会作恶。 |
35
zsh2517 35 天前
https + basic auth 。然后再配合自己知道的网址,要好一些感觉
|
36
zsh2517 35 天前
@zsh2517 除非扔到 CDN 或者其他托管平台(但是这样又不是“只有自己知道”了),否则现代的网关比如 nginx caddy 等都能上 basic auth 。
https ,然后 nginx 给那个文件开 basic auth (不要整个站点开放,其他路径走的 444 或者默认页之类的),浏览器不记住密码,我觉得差不多够了(虽然还是不如其他方案好 |
37
zerovoid 35 天前
我密码口令都是公开放的,既然是公开放的,那必然是一长串无意义字符串(有意义的串自己早背下来了)。
这些公开存放的密码口令字符串,需要使用的时候,固定某几位替换为自己生日就行了,公开串别人拿了也没用。 |
38
ebushicao 35 天前
可行,只要你不说,不会有人知道那是你的密码
|
40
renfei 35 天前
@ttgo #15 还有浏览器安装的插件,可以获取到 https 也不行,这些插件可以获取到页面上的内容,相当于直接在你解密以后的页面中可以任意插入他们插件的 JS 代码,获取到页面上的东西
|
41
liansishen 35 天前
完全可以,就算别人知道了这是密码,但是是什么网站的密码呢?
|
42
zictos 35 天前
加一个验证啊,比如我会把网站的一些日志用网页的形式以表格的排版显示出来,但会有验证,首次需要输入密码验证,后续有 cookie 了就能直接访问了,每个月验证一次
|
43
MissTang 34 天前 1
dns txt
|
44
retrocode 34 天前
赛博大航海了属于是
|
45
BelovedOne 34 天前
翻开随身携带的记事本
写着许多事都是关于你 |
46
langhuishan 34 天前
就自己访问,加浏览器指纹白名单
|
47
030 34 天前
2024 年了,还有那么可爱的人
|
48
FrankAdler 34 天前 via Android
你需要这个吗 https://b64s.uk
|
49
ttyhtg 34 天前
我觉得可以,然后给这个网页再加个访问限制,输入帐号密码才能打开,我搞有些网页就只有我能打开
|
50
ttyhtg 34 天前
可以再狠点儿,打开页面需要指纹验证
|
51
LanhuaMa 34 天前
@zerovoid #37 假设你的密码串 20 位,在知道你生日的情况下一共有 20C8 = 125970 种可能,就算不知道你的生日,从 1950 - 2010 大约 22000 天,125970 * 22000 也不过 30 亿种可能,用一台家用计算机算不到一个星期就能算出来。而 20 位数字 + 字母大小写一共可以有 62^20 种可能性,是一个天文数字。
总结下来就是不要自己发明加密算法 |
52
mikewang 34 天前
如果一定要这么做,至少用上 https 再加一个 basic auth ,使用主密码保护一下。比随机生成的网址要靠谱。
|
53
zerovoid 34 天前
@LanhuaMa 不是加密算法,这种方法只考虑便捷性,如果考虑安全性,其实也还行,首先,没人知道我在某个网页里存的字符串是密码,其次,他们即使他们知道这是我的密码,他们也不知道是哪个网站的密码,最后,即使他们知道密码对应的网站,正常网站也不会允许高频率测试密码。
|
54
JiHuGeek 34 天前
手头上有一个类似需求的业务,放的不是密码不过也是敏感数据,就是把该私密网页放到网站的根目录以外,然后在网站目录下的不同未公开路径下分别放置网页 1 和网页 2 ,网页 1 负责显示供一次性使用的定时刷新的验证码,网页 2 负责接收验证码输入提交到后端验证通过后返回私密网页的数据,这样网页 1 的路径再设置仅允许特定设备访问,网页 2 则可以在任意设备访问。只要确保网页 1 和网页 2 被同时发现并联系起来的概率足够低,那这个私密网页就是相对安全的。
|