[beantwortet] Wie sicher sind sog. "Geheimlinks"

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
TuxPeter
Beiträge: 1954
Registriert: 19.11.2008 20:39:02
Lizenz eigener Beiträge: MIT Lizenz

[beantwortet] Wie sicher sind sog. "Geheimlinks"

Beitrag von TuxPeter » 14.09.2020 13:16:42

Hallo Debianfreunde,

sorry, wenn meine Frage sehr blöd oder naiv ist, aber ich möchte gerne wissen, ob es irgendeine Möglichkeit gibt, an die sog. "Geheimlinks" heranzukommen, so dass ich mir das auch sparen kann.

Hintergrund: ich lasse seit längerem eine Webseite mit ein paar MB irgendwo für kleines Geld hosten und habe dafür meine eigene Emai-Addr. sowie die Möglichkeit, einem kleineren Benutzerkreis Inhalte wie Urlaubs- oder Hobbyfotos zukommen zu lassen. Es gilt also: www.meine-seite.de/geheimlink/, und geheimlink wird den zugedachten Empfängern irgendwie mitgeteilt. Suchmaschinen versuche ich durch ein robots.txt direkt im Wurzelverzeichnis abzuwehren mit dem Inhalt:

Code: Alles auswählen

User-agent: *
Disallow: /
- was bis jetzt auch funktioniert. Und nach angemessener Frist mache ich die URL auch wieder ungültig. (umbenennen oder Content löschen) Ein ziemlich simples, dafür aber hürdefreies Verfahren.

Mir ist völlig klar, dass jeder der zugedachten Empfänger den Link weitergeben könnte und mein Hoster/Provider sowie sämtliche mit ihm verknüpfte Personen, Institutionen und Mächten auf die Inhalte hinter "Geheimlink" zugreifen kann. (und dass somit diese Form von "Security By Obscurity" nicht sehr sicher sein kann)

Aber kann es auch irgendein Hänschen Klein mit seinem Web-Baukasten?

Grüße, TuxPeter

Nachtrag: Vielleicht den robots.txt weglassen, um gar nicht erst Interesse zu wecken?
Zuletzt geändert von TuxPeter am 14.09.2020 17:53:39, insgesamt 1-mal geändert.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Wie sicher sind sog. "Geheimlinks"

Beitrag von Lord_Carlos » 14.09.2020 13:32:17

Wenn du https benutzt, kann selbst dein Hoster oder Provider (oder andere im Netzwerk) nur den geheimen Link sehen wenn die auf deine Server Festplatte in die logs / Einstellungen gucken. Nicht aber durch beobachten des Netzwerkverkehrs.

Ich halte es fuer relativ sicher.
Kannst ja auch noch ein kleines Password vor die Seite packen.

Und wenn du sicher gehen willst das es keiner versucht zu erraten kannst du nach X Fehlversuche / 404 die IP sperren. z.B. https://serverfault.com/a/849859

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

TuxPeter
Beiträge: 1954
Registriert: 19.11.2008 20:39:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Wie sicher sind sog. "Geheimlinks"

Beitrag von TuxPeter » 14.09.2020 14:09:38

Vielen Dank für die Antwort!

Das mit dem vorgelagerten Passwort sperrt wahrscheinlich einen erheblichen Teil der von mir gewünschten Nutzer aus, aber die Begrenzung der Fehlversuche finde ich Klasse!

MfG, TuxPeter

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Wie sicher sind sog. "Geheimlinks"

Beitrag von Lord_Carlos » 14.09.2020 14:24:55

Nur mal so als beispiel.
NextCloud hat bei mir ein Geheimlink bestehend aus 16 Buchstaben. Gross und klein.
Ich habe das mal hier eingegeben: https://www.grc.com/haystack.htm
Wenn dich Online jemand mit 1000 Versuchen pro Sekunde angreift dauert das 9 Millionen Jahrhunderte.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Wie sicher sind sog. "Geheimlinks"

Beitrag von TRex » 14.09.2020 15:29:25

Genau, vorhersehbare Pfade werden je nach potentiellem Wert der Daten automatisch gescraped (offene webcams sind ein bekanntes Beispiel).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

TuxPeter
Beiträge: 1954
Registriert: 19.11.2008 20:39:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Wie sicher sind sog. "Geheimlinks"

Beitrag von TuxPeter » 14.09.2020 17:52:02

Danke für Eure Beiträge.

Habe vorsichtshalber erst mal nachgeschaut, was "Scraping" heißt - obwohl es ja sich aus dem Kontext erschließt. Nein, so interessant wird mein Zeug wohl nicht sein, dass jemand da solchen Aufwand treibt. Und ich bin da auch nicht ängstlich oder gar Aluhutträger - aber nur so aus Prinzip: Auch wenn ich nichts zu verbergen habe, laufe ich eben nicht gerne mit offenem Hosenstall rum.

Ich werde den Thread dann mal auf "beantwortet" stellen.

MfG, TuxPeter

Korodny
Beiträge: 704
Registriert: 09.09.2014 18:33:22
Lizenz eigener Beiträge: GNU Free Documentation License

Re: [beantwortet] Wie sicher sind sog. "Geheimlinks"

Beitrag von Korodny » 14.09.2020 23:40:29

Der Haken dürfte am ehesten dass "irgendwie mitteilen" des Geheimlinks sein. Wenn das über unverschlüsselte Mails passiert, weiß ich nicht wie viele Daten dort eventuell abgegriffen werden. Zwei der fünf Leute haben einen GoogleMail-Account, der dritte ist bei GMX...

Ansonsten sehe ich mit Geheimlinks auch kein Problem. Ich habe ebenfalls einen "Geheimlink" für meine Nextcloud-Instanz. Sie sollten halt wirklich geheim sein, und nicht etwas dass der Linkstruktur bekannter Software (Wordpress, Joomla) gleicht oder /contact/ lautet ;)

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: [beantwortet] Wie sicher sind sog. "Geheimlinks"

Beitrag von uname » 15.09.2020 09:28:39

Ich nutze auch Nextcloud. Einen Nextcloud-Share kann man zudem mit einen Passwort sichern. Auch kann man Gäste einrichten, die erst mal eine E-Mail erhalten und ihr Nextcloud-Passwort dann selbst setzen müssen. Vorteil ist, dass das Passwort nie über E-Mail, sondern nur über TLS/SSL direkt zur Nextcloud übertragen wird. https://apps.nextcloud.com/apps/guests

Neben Nextcloud kann man sich auch mal https://privatebin.net (natürlich selbst gehostet) anschauen. Man könnte z. B. den Link zum Nextcloud-Share oder zum "Geheimlink" über Privatebin und "Burn after Reading" per E-Mail dem (natürlich nur einen) Empfänger mitteilen. Sollte er den Link nicht erhalten weiß man, dass jemand schneller war ;-) Dann sollte man den Nextcloud-Share bzw. "Geheimlink" besser schnell erneuern.

Ich teile meine Nextcloud-Shares im übrigen direkt per E-Mail. Von Zeit zu Zeit räume ich aber meine Nextcloud-Shares auf meiner Nextcloud auch auf. Am Ende ist auch die Frage wie vertraulich die Daten wirklich sind.

Antworten