V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ttgo
V2EX  ›  问与答

在一个仅自己知道网址的网页上放密码,是否可行呢?

  •  
  •   ttgo · 35 天前 · 5377 次点击
    这是一个创建于 35 天前的主题,其中的信息可能已经有所发展或是发生改变。
    网站地图上没有这个网页,其他网站也没有这个网页的链接,搜索引擎未收录。

    仅自己知道网址,自己只用手机浏览器访问。

    是否可行呢?
    54 条回复    2024-10-10 09:39:45 +08:00
    lambdaq
        1
    lambdaq  
       35 天前   ❤️ 1
    pastebin 里很多这种啊。私密唯一链接

    不过国产浏览器都会各种官家、安全、助手帮你扫描网址。。。。
    beimenjun
        2
    beimenjun  
       35 天前
    我觉得不可行,因为你的浏览数据可能会被浏览器共享。
    BG7ZAG
        3
    BG7ZAG  
       35 天前
    机器人一天不知道爬多少回~

    还不如自建个 vaultwarden 密码管理器
    totoro625
        4
    totoro625  
       35 天前   ❤️ 9
    就算是公开网站上放也没事
    你甚至可以在这个帖子里放一串密码
    只要你不说,别人也不知道这是哪个账户的密码
    比如:xqMqR9v*RBP9C!AfNXo
    你可以在任意第几位增加一个特殊字符,或减少一个字符,这都是独一无二的密码
    wkj89
        5
    wkj89  
       35 天前
    vaultwarden 是犯了天条么 何况 vaultwarden 还有 OTP
    creazyrabbit
        6
    creazyrabbit  
       35 天前
    你可以放在多个网站上,比如 a 站放密码前两位,b 站放四五位,c 站放 67 位,谁都不知道是啥
    ttgo
        7
    ttgo  
    OP
       35 天前
    @lambdaq @BG7ZAG
    他们怎么扫啊?总不能遍历所有网址吧?

    @beimenjun
    浏览器共享确实是隐患。只用比如 safari 这种比较封闭的浏览器呢。

    @wkj89
    只是突发奇想。

    @totoro625 @creazyrabbit
    这个相当于又引入了另一层加密。我是好奇孤立的网页的安全性。
    fsq
        8
    fsq  
       35 天前   ❤️ 3
    只要是公网上的网页,就不可能只有你自己知道
    totoro625
        9
    totoro625  
       35 天前
    @ttgo #7 有没有可能加密是说给别人听的,实际上这放的字符串就是完整的密码
    dhb233
        10
    dhb233  
       35 天前
    肯定是不安全,如果不是那么重要的密码,给网站访问加个简单的验证?
    tool2dx
        11
    tool2dx  
       35 天前
    我家的 ipv6 only 服务,看日志没人来访问。

    ipv4 会被扫,总共就那么几个,全扫也不费很多时间。
    renfei
        12
    renfei  
       35 天前
    不可行,只要你访问过,浏览器、插件、路由器等所有经过的设备和软件,都知道这个网址的存在,不排除他们会去爬取扫描
    bug403
        13
    bug403  
       35 天前
    当年好多盗 qq 的木马,盗取以后直接上传到网站的 txt 文件,,,然后被搜索引擎可以检索出一些关键字,,,
    wu67
        14
    wu67  
       35 天前
    > 他们怎么扫啊?总不能遍历所有网址吧?

    你好, 会的. 我那个小鸡, 开着 nginx, 天天被扫, 各种 wp 相关的目录爆破...后来心烦了, 直接在 cf 把省外和国外的域名访问直接 ban 了.

    建议至少配一下 nginx 的 auth_basic_user_file
    ttgo
        15
    ttgo  
    OP
       35 天前
    @wu67 wp 的是有字典吧。比如 https://xx.com/H6ZcbrmXMDSc6b ,我就不信会被扫到啊。

    @renfei https 的话路由器、isp 等都看不到完整网址
    wu67
        16
    wu67  
       35 天前
    @ttgo 我意思是只要你开了 域名解析 http 服务, 他们就会来搞, 什么路径根本不重要. 即使你只挂上 nginx 的欢迎页, 那些爬虫一样会来疯狂访问. 感觉是 dns 服务商跟那些爬虫公司有什么 py 交易...
    Whiplash55
        17
    Whiplash55  
       35 天前
    该扫还是扫,网站的本质就是指向 ip 。

    你可以试一下租一个 cloud 服务器,里面什么都不做,也不提供任何访问外部访问,,就单纯创建实例后打一下 log ,一天有多少人来对着你的 ip 碰撞 SSH 密码登录。
    那别人都能扫到你的 ip 来碰撞了,想扫你的网页地址也是可以的。
    chqome
        18
    chqome  
       35 天前
    肯定可行啊,你可以定期换密码不就行了
    InDom
        19
    InDom  
       35 天前
    可以实现啊, 页面前端加密就是了.

    https://demo.qs5.org/202410/your-secret/

    看看谁能解开密码.
    fru1t
        20
    fru1t  
       35 天前
    太多工具可以了,CTF 没玩过?
    SuperMild
        21
    SuperMild  
       35 天前
    可以参考一下我这个项目 https://github.com/ahui2016/MiMa.html

    就一个 html 文件,纯前端,单文件,真加密。

    关键技术是 TiddlyWiki 和 Stanford Javascript Crypto Library
    coolloves
        22
    coolloves  
       35 天前
    加个简单密码验证就可以了
    zhangfeiwudi
        23
    zhangfeiwudi  
       35 天前
    直接放到 github 私有仓库不更好??
    iyiluo
        24
    iyiluo  
       35 天前
    有些后台登陆页面地址就是这样的,但是把密码放在这里,还是要慎重
    YienX
        25
    YienX  
       35 天前
    @SuperMild starred
    pkoukk
        26
    pkoukk  
       35 天前
    可行啊,只放密码不放账号,不放是哪个站点的密码,就完全可以啊
    但是你要是把站点+账号+密码都放上去,那一定会被扫到
    qianckjuan
        27
    qianckjuan  
       35 天前
    别放密码明文全部就行了,只放提示
    dbit
        28
    dbit  
       35 天前
    加个微信扫描登录
    dddd1919
        29
    dddd1919  
       35 天前   ❤️ 1
    直接密码放公网上,然后留下一段话:
    “想要我的宝藏吗?如果想要的话,那就到网络上去找吧,我全部都放在那里。”

    赛博大航海时代来了
    Greendays
        30
    Greendays  
       35 天前   ❤️ 2
    在油管上传一个视频,然后用视频 ID 做密码
    BadFox
        31
    BadFox  
       35 天前
    [无认证] 但是 [仅自己知道] 的 [网页] 放 [明文] 密码

    每个 [] 内都可以优化下增加安全性。
    songshu128
        32
    songshu128  
       35 天前
    有扫描,无推广无收录就自己玩的,看网站日志依然有很多其他访问。
    TellMeWHY
        33
    TellMeWHY  
       35 天前
    让网关和云服务器保持一条 site-to-site VPN 吧,敏感信息直接还是用内网地址访问,手机在外就拨个 L2TP VPN 按纽再访问也不麻烦
    要是嫌 VPN 麻烦,还可以在你的网站插入一个检测 IP 地址段是否合规的函数,在敏感页面调用一下,日常偶尔维护一下 IP 白名单,也是一个可行的方法
    安全第一
    villivateur
        34
    villivateur  
       35 天前
    http 协议的话一切都白搭。
    https 的话,要看你的浏览器会不会记录 url ,以及浏览器自身会不会作恶。
    zsh2517
        35
    zsh2517  
       35 天前
    https + basic auth 。然后再配合自己知道的网址,要好一些感觉
    zsh2517
        36
    zsh2517  
       35 天前
    @zsh2517 除非扔到 CDN 或者其他托管平台(但是这样又不是“只有自己知道”了),否则现代的网关比如 nginx caddy 等都能上 basic auth 。

    https ,然后 nginx 给那个文件开 basic auth (不要整个站点开放,其他路径走的 444 或者默认页之类的),浏览器不记住密码,我觉得差不多够了(虽然还是不如其他方案好
    zerovoid
        37
    zerovoid  
       35 天前
    我密码口令都是公开放的,既然是公开放的,那必然是一长串无意义字符串(有意义的串自己早背下来了)。
    这些公开存放的密码口令字符串,需要使用的时候,固定某几位替换为自己生日就行了,公开串别人拿了也没用。
    ebushicao
        38
    ebushicao  
       35 天前
    可行,只要你不说,不会有人知道那是你的密码
    mingtdlb
        39
    mingtdlb  
       35 天前
    @zerovoid 竟然有人跟我一样!!!我就是这样,搞个随机的,比如 b8oVP2$V%5zTzrko ,明文存着,然后要用的时候在某个位置插入一些字符
    renfei
        40
    renfei  
       35 天前
    @ttgo #15 还有浏览器安装的插件,可以获取到 https 也不行,这些插件可以获取到页面上的内容,相当于直接在你解密以后的页面中可以任意插入他们插件的 JS 代码,获取到页面上的东西
    liansishen
        41
    liansishen  
       35 天前
    完全可以,就算别人知道了这是密码,但是是什么网站的密码呢?
    zictos
        42
    zictos  
       35 天前
    加一个验证啊,比如我会把网站的一些日志用网页的形式以表格的排版显示出来,但会有验证,首次需要输入密码验证,后续有 cookie 了就能直接访问了,每个月验证一次
    MissTang
        43
    MissTang  
       34 天前   ❤️ 1
    dns txt
    retrocode
        44
    retrocode  
       34 天前
    赛博大航海了属于是
    BelovedOne
        45
    BelovedOne  
       34 天前
    翻开随身携带的记事本
    写着许多事都是关于你
    langhuishan
        46
    langhuishan  
       34 天前
    就自己访问,加浏览器指纹白名单
    030
        47
    030  
       34 天前
    2024 年了,还有那么可爱的人
    FrankAdler
        48
    FrankAdler  
       34 天前 via Android
    你需要这个吗 https://b64s.uk
    ttyhtg
        49
    ttyhtg  
       34 天前
    我觉得可以,然后给这个网页再加个访问限制,输入帐号密码才能打开,我搞有些网页就只有我能打开
    ttyhtg
        50
    ttyhtg  
       34 天前
    可以再狠点儿,打开页面需要指纹验证
    LanhuaMa
        51
    LanhuaMa  
       34 天前
    @zerovoid #37 假设你的密码串 20 位,在知道你生日的情况下一共有 20C8 = 125970 种可能,就算不知道你的生日,从 1950 - 2010 大约 22000 天,125970 * 22000 也不过 30 亿种可能,用一台家用计算机算不到一个星期就能算出来。而 20 位数字 + 字母大小写一共可以有 62^20 种可能性,是一个天文数字。

    总结下来就是不要自己发明加密算法
    mikewang
        52
    mikewang  
       34 天前
    如果一定要这么做,至少用上 https 再加一个 basic auth ,使用主密码保护一下。比随机生成的网址要靠谱。
    zerovoid
        53
    zerovoid  
       34 天前
    @LanhuaMa 不是加密算法,这种方法只考虑便捷性,如果考虑安全性,其实也还行,首先,没人知道我在某个网页里存的字符串是密码,其次,他们即使他们知道这是我的密码,他们也不知道是哪个网站的密码,最后,即使他们知道密码对应的网站,正常网站也不会允许高频率测试密码。
    JiHuGeek
        54
    JiHuGeek  
       34 天前
    手头上有一个类似需求的业务,放的不是密码不过也是敏感数据,就是把该私密网页放到网站的根目录以外,然后在网站目录下的不同未公开路径下分别放置网页 1 和网页 2 ,网页 1 负责显示供一次性使用的定时刷新的验证码,网页 2 负责接收验证码输入提交到后端验证通过后返回私密网页的数据,这样网页 1 的路径再设置仅允许特定设备访问,网页 2 则可以在任意设备访问。只要确保网页 1 和网页 2 被同时发现并联系起来的概率足够低,那这个私密网页就是相对安全的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5518 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 06:54 · PVG 14:54 · LAX 22:54 · JFK 01:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.