Иногда мне приходилось делиться некоторыми пока что «личными» данными (то есть неотредактированными черновиками аудиолекций), чтобы они могли быть просмотрены уполномоченными лицами перед публикацией. Обычно я делаю это, давая файлу непонятное имя (например, вновь созданный GUID) и отправляя ссылку на человека по электронной почте или через мгновенное сообщение. Конечно, нет ссылки на файл с других страниц сайта. Это действительно безопасно, или я не замечаю какой-то уязвимости? Не то чтобы здесь передавались какие-то ядерные секреты, но я все же хочу убедиться, что что-то не упускаю.
Если информация, которой вы делитесь, не секреткак таковой, просто «не совсем для общественного потребления», и особенно, если это временно, я не вижу здесь огромного риска. Единственное, о чем следует быть осторожным, - это убедиться, что индекс каталога не может привести к файлу паука или человека.
Например, если вы храните файл в /foo/bar/baz/wombat/GUID.pdf, при доступе /foo дает dirindex, который ссылается на /foo/bar, и /foo/bar дает dirindex, который ссылается на /foo/bar/bazи так далее ... ну, гораздо проще кому-то поиграть и получить /foo затем перейдите по ссылкам, чтобы угадать все эти компоненты каталога.
А .htaccess файл, отключив DirIndex в каталоге, в котором находятся файлы, должен помочь (или index.html там говорят: "Уходи").
Безопасность через неизвестность на самом деле не дает никакой безопасности.
Я не могу это подчеркнуть достаточно сильно, если вы не хотите, чтобы документы были общедоступными - сделайте не сделать их общедоступными. Конец истории.
Имейте в виду, что только один человек может ссылаться на страницу где-нибудь в Интернете, чтобы Google сканировал страницу, впоследствии кэшируя страницу, оставляя контент доступным для всех (и теперь доступным для поиска в Google), даже после вы удаляете страницу ...
в академический мир, где злоумышленники постоянно пытаются прослушать разговоры между Алисой и Бобом, это небезопасно по множеству причин, которые другие перечислят.
в настоящий world это комбинированная вероятность:
Не забывайте, что просочившийся документ может остаться навсегда. Вы хотите, чтобы такие вещи через 10 лет укусили вас в спину? В 20?
Это НЕ БЕЗОПАСНО, поскольку URL-адреса будут передаваться по сети в виде обычного текста. Злоумышленник может использовать такой инструмент, как Ethereal, чтобы обнюхать URL-адреса, а затем сам посетить их. Может быть, добавить htaccess / htpasswd в «Secure Area» или эквивалент, если не используется Apache?