【发布时间】:2012-08-21 16:49:55
【问题描述】:
对于我的网页,我使用 (HTTPS) 链接而不是密码来更改页面。在链接中,我使用了 2 个 MD5 哈希值,MD5 的基数是随机的(广告的 ID 和其他一些不可猜测的信息)。 当然,除了拥有带有链接的电子邮件的人之外,我不希望其他人更改页面。这个解决方案实际上有多安全?还有什么其他的选择,我不想用密码……
示例链接:
https://www.huurhulp.nl/wijzigen/wijzigen.php?wijzigen_adv=14&code=523a98367bfb05765fb86a2535966aad
如果带有链接的电子邮件未转发,是否有可能该链接已掌握在其他人手中?可以窃听吗?
【问题讨论】:
-
我什么都不懂。你应该知道够了 1
MD5hash -
这是基于不记名令牌的身份验证。如果您可以控制这些链接不泄漏,那没有什么问题。考虑过期日期、手动过期、只能使用一次的链接以及随机数而不是哈希。
-
除非我们知道您要询问的是哪种安全性,否则我们无法告诉您这有多安全。但是,即使您告诉我们,我们也可能需要关闭该问题,因为过于本地化,因为我们希望看到这里提出的一般问题,而不是那些您现在出于任何原因必须抓挠的问题时间,十天后可能不会发挥任何作用。那么你想具体了解什么?
-
如果你把这一切和用户的IP地址结合起来会更安全;)
-
@Bandye:除非共享密钥发生变化。