Seite 1 von 1

[beantwortet] Wie sicher sind sog. "Geheimlinks"

Verfasst: 14.09.2020 13:16:42
von TuxPeter
Hallo Debianfreunde,

sorry, wenn meine Frage sehr blöd oder naiv ist, aber ich möchte gerne wissen, ob es irgendeine Möglichkeit gibt, an die sog. "Geheimlinks" heranzukommen, so dass ich mir das auch sparen kann.

Hintergrund: ich lasse seit längerem eine Webseite mit ein paar MB irgendwo für kleines Geld hosten und habe dafür meine eigene Emai-Addr. sowie die Möglichkeit, einem kleineren Benutzerkreis Inhalte wie Urlaubs- oder Hobbyfotos zukommen zu lassen. Es gilt also: www.meine-seite.de/geheimlink/, und geheimlink wird den zugedachten Empfängern irgendwie mitgeteilt. Suchmaschinen versuche ich durch ein robots.txt direkt im Wurzelverzeichnis abzuwehren mit dem Inhalt:

Code: Alles auswählen

User-agent: *
Disallow: /
- was bis jetzt auch funktioniert. Und nach angemessener Frist mache ich die URL auch wieder ungültig. (umbenennen oder Content löschen) Ein ziemlich simples, dafür aber hürdefreies Verfahren.

Mir ist völlig klar, dass jeder der zugedachten Empfänger den Link weitergeben könnte und mein Hoster/Provider sowie sämtliche mit ihm verknüpfte Personen, Institutionen und Mächten auf die Inhalte hinter "Geheimlink" zugreifen kann. (und dass somit diese Form von "Security By Obscurity" nicht sehr sicher sein kann)

Aber kann es auch irgendein Hänschen Klein mit seinem Web-Baukasten?

Grüße, TuxPeter

Nachtrag: Vielleicht den robots.txt weglassen, um gar nicht erst Interesse zu wecken?

Re: Wie sicher sind sog. "Geheimlinks"

Verfasst: 14.09.2020 13:32:17
von Lord_Carlos
Wenn du https benutzt, kann selbst dein Hoster oder Provider (oder andere im Netzwerk) nur den geheimen Link sehen wenn die auf deine Server Festplatte in die logs / Einstellungen gucken. Nicht aber durch beobachten des Netzwerkverkehrs.

Ich halte es fuer relativ sicher.
Kannst ja auch noch ein kleines Password vor die Seite packen.

Und wenn du sicher gehen willst das es keiner versucht zu erraten kannst du nach X Fehlversuche / 404 die IP sperren. z.B. https://serverfault.com/a/849859

Re: Wie sicher sind sog. "Geheimlinks"

Verfasst: 14.09.2020 14:09:38
von TuxPeter
Vielen Dank für die Antwort!

Das mit dem vorgelagerten Passwort sperrt wahrscheinlich einen erheblichen Teil der von mir gewünschten Nutzer aus, aber die Begrenzung der Fehlversuche finde ich Klasse!

MfG, TuxPeter

Re: Wie sicher sind sog. "Geheimlinks"

Verfasst: 14.09.2020 14:24:55
von Lord_Carlos
Nur mal so als beispiel.
NextCloud hat bei mir ein Geheimlink bestehend aus 16 Buchstaben. Gross und klein.
Ich habe das mal hier eingegeben: https://www.grc.com/haystack.htm
Wenn dich Online jemand mit 1000 Versuchen pro Sekunde angreift dauert das 9 Millionen Jahrhunderte.

Re: Wie sicher sind sog. "Geheimlinks"

Verfasst: 14.09.2020 15:29:25
von TRex
Genau, vorhersehbare Pfade werden je nach potentiellem Wert der Daten automatisch gescraped (offene webcams sind ein bekanntes Beispiel).

Re: Wie sicher sind sog. "Geheimlinks"

Verfasst: 14.09.2020 17:52:02
von TuxPeter
Danke für Eure Beiträge.

Habe vorsichtshalber erst mal nachgeschaut, was "Scraping" heißt - obwohl es ja sich aus dem Kontext erschließt. Nein, so interessant wird mein Zeug wohl nicht sein, dass jemand da solchen Aufwand treibt. Und ich bin da auch nicht ängstlich oder gar Aluhutträger - aber nur so aus Prinzip: Auch wenn ich nichts zu verbergen habe, laufe ich eben nicht gerne mit offenem Hosenstall rum.

Ich werde den Thread dann mal auf "beantwortet" stellen.

MfG, TuxPeter

Re: [beantwortet] Wie sicher sind sog. "Geheimlinks"

Verfasst: 14.09.2020 23:40:29
von Korodny
Der Haken dürfte am ehesten dass "irgendwie mitteilen" des Geheimlinks sein. Wenn das über unverschlüsselte Mails passiert, weiß ich nicht wie viele Daten dort eventuell abgegriffen werden. Zwei der fünf Leute haben einen GoogleMail-Account, der dritte ist bei GMX...

Ansonsten sehe ich mit Geheimlinks auch kein Problem. Ich habe ebenfalls einen "Geheimlink" für meine Nextcloud-Instanz. Sie sollten halt wirklich geheim sein, und nicht etwas dass der Linkstruktur bekannter Software (Wordpress, Joomla) gleicht oder /contact/ lautet ;)

Re: [beantwortet] Wie sicher sind sog. "Geheimlinks"

Verfasst: 15.09.2020 09:28:39
von uname
Ich nutze auch Nextcloud. Einen Nextcloud-Share kann man zudem mit einen Passwort sichern. Auch kann man Gäste einrichten, die erst mal eine E-Mail erhalten und ihr Nextcloud-Passwort dann selbst setzen müssen. Vorteil ist, dass das Passwort nie über E-Mail, sondern nur über TLS/SSL direkt zur Nextcloud übertragen wird. https://apps.nextcloud.com/apps/guests

Neben Nextcloud kann man sich auch mal https://privatebin.net (natürlich selbst gehostet) anschauen. Man könnte z. B. den Link zum Nextcloud-Share oder zum "Geheimlink" über Privatebin und "Burn after Reading" per E-Mail dem (natürlich nur einen) Empfänger mitteilen. Sollte er den Link nicht erhalten weiß man, dass jemand schneller war ;-) Dann sollte man den Nextcloud-Share bzw. "Geheimlink" besser schnell erneuern.

Ich teile meine Nextcloud-Shares im übrigen direkt per E-Mail. Von Zeit zu Zeit räume ich aber meine Nextcloud-Shares auf meiner Nextcloud auch auf. Am Ende ist auch die Frage wie vertraulich die Daten wirklich sind.