V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wsseo
V2EX  ›  程序员

对象存储分享的下载地址安全吗?

  •  
  •   wsseo · 2020-12-31 16:17:18 +08:00 · 2424 次点击
    这是一个创建于 1424 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Bucket 权限是私有,里面的文件有一个分享链接,有效期是默认是 300 秒。
    我把这个链接单独分享好给好友,别人会知道吗?因为没有密码。
    11 条回复    2020-12-31 21:57:04 +08:00
    Tokin
        1
    Tokin  
       2020-12-31 17:09:33 +08:00 via iPhone
    敏感数据不要这样操作吧。比如你通过 QQ 发链接,那腾讯可能会知道...
    90928yao
        2
    90928yao  
       2020-12-31 17:27:20 +08:00
    没明白啥意思 你分享给你好友 不就只有你和你好友知道吗。。。
    wsseo
        3
    wsseo  
    OP
       2020-12-31 17:28:08 +08:00
    @90928yao 按理说是这样,但是知道链接的人都能访问
    keepeye
        4
    keepeye  
       2020-12-31 17:37:14 +08:00
    特定情况下有可能被窃听的,比如你通过 wx 分享的。
    once1mo
        5
    once1mo  
       2020-12-31 17:44:06 +08:00
    你说的这个安全性问题和对象存储本身没啥关系。
    回到问题上来说「我把这个链接单独分享好给好友,别人会知道吗?」,看你怎么分享的,有可能会被泄漏。
    别人知道链接就能在有效期内下载。
    tcfenix
        6
    tcfenix  
       2020-12-31 17:48:12 +08:00
    有几种办法
    1 分散法
    可以链接分开来 qq 发三分之一 百度网盘放三分之一 钉钉发三分之一

    2 公私钥加密
    这边建议公钥的传输可以换一个途径, 比如邮政寄件, 就要一个出其不意

    -------------
    其实我更加好奇的是, 你这个链接里面到底是放了什么羞羞的东西让你这么紧张
    kuro1
        7
    kuro1  
       2020-12-31 17:53:37 +08:00
    用非常规编码,收到转一下就行了
    my3157
        8
    my3157  
       2020-12-31 20:19:15 +08:00
    带签名和过期时间的 url , 在有效期内相当于公开的, 任何人拿到都是可以访问的, 建议:

    1. 通过可靠的途径传播 url
    2. 降低有效期, 比如 30 秒
    3. 如果是知道访问者 ip, 并且访问者 ip 不变, 可以用过 policy 加 ip match
    4. 如果是网站访问, 加 CORS 和 url reference match
    dzdh
        9
    dzdh  
       2020-12-31 20:23:40 +08:00
    一次可用就行了
    codehz
        10
    codehz  
       2020-12-31 20:55:47 +08:00
    也不是不可以徒手搓一个 DH 密钥交换
    opengps
        11
    opengps  
       2020-12-31 21:57:04 +08:00
    肯定不安全啊,有效期内,虽然被主动扫描到的难度很高,但是被动被提取到的难度却低很多
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2612 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:29 · PVG 23:29 · LAX 07:29 · JFK 10:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.