带有令牌参数的 https URL：安全性如何？

Question

在我们的网站上，我们根据用户的私人信息（通过表格提供）向用户提供模拟。 我们希望允许他们稍后返回模拟结果，但不强迫他们创建登录/密码帐户。

我们考虑过向他们发送一封带有链接的电子邮件，他们可以从中获取结果。 但是，自然地，我们必须保护这个 URL，因为私人数据受到威胁。

因此，我们打算在 URL 中传递一个令牌（例如 40 个字母和数字的字符组合，或 MD5 哈希值）并使用 SSL。

最后，他们会收到这样一封电子邮件：

嗨，
返回您的结果 https://www.example.com/load_simulation?token=uZVTLBCWcw33RIhvnbxTKxTxM2rKJ7YJrwyUXhXn

你觉得怎么样关于它？ 它足够安全吗？ 对于代币生成，您有什么建议？ 在 https 请求中传递 URL 参数怎么样？

Answer 1

SSL 将保护传输中的查询参数； 然而，电子邮件本身并不安全，并且电子邮件在到达目的地之前可能会经过任意数量的服务器。

另外，根据您的 Web 服务器，完整的 URL 可能会记录在其日志文件中。 根据数据的敏感程度，您可能不希望 IT 人员访问所有令牌。

此外，带有查询字符串的 URL 将保存在您的用户历史记录中，从而允许同一计算机上的其他用户访问该 URL。

最后，导致这种情况非常不安全的是，URL 是在对任何资源（甚至是第三方资源）的所有请求的 Referer 标头中发送的。 例如，如果您使用 Google Analytics，您将向 Google 发送 URL 令牌以及所有内容。

在我看来这是一个坏主意。

Answer 2

我会为此使用 cookie。 工作流程应该是这样的：

1. 用户第一次访问您的网站。
2. 网站设置 cookie
3. 用户输入数据。 数据使用存储在 cookie 中的某个密钥存储在数据库中。
4. 当用户离开时，您向他们发送一封带有 https: 链接的电子邮件。
5. 当用户回来时，站点会发现 cookie，并可以向用户提供旧数据。

现在，用户想在不同的机器上使用不同的浏览器。 在这种情况下，提供一个“转移”按钮。 当用户点击这个按钮时，她将获得一个“令牌”。 她可以在另一台计算机上使用此令牌来重置 cookie。 这样，用户就可以决定她想要传输令牌的安全程度。

Answer 3

SSL 可以保护传输中数据的内容，但我不确定 URL。

无论如何，减轻攻击者重复使用该 URL 令牌的一种方法是确保每个令牌只能使用一次。 您甚至可以设置一个 cookie，以便合法用户可以继续使用该链接，但在第一次访问后，它只对拥有 cookie 的人有效。

如果用户的电子邮件被泄露并且攻击者首先获得了链接，那么您就完蛋了。 但用户也有更大的问题。

Answer 4

电子邮件本质上是不安全的。 如果任何人都可以单击该链接并获取数据，那么您并没有真正保护它。

Answer 5

通过 SSL 传递时，令牌是安全的。 您将遇到的问题是，人们（那些不适合它的人）可以通过查看 URL 来使用它。

如果是像 SSN 这样的私人信息，我想我不会通过电子邮件发送 URL。 我宁愿让他们为该网站创建用户名和密码。 对于您和他们来说，含有此类信息的电子邮件很容易被泄露。 如果某人的账户被泄露，那么这到底是谁的错就会受到质疑。 从严格的 CYA 角度来看，越安全越好。

Answer 6

您是否知道，如果任何黑客能够访问您的数据库，则可以免费提供大量个人信息？

之后我会说这个主意还不错。 我不会使用 MD5 或 SHA1，因为它们对于散列来说不是很安全。 它们可以很容易地“解密”（我知道这不是加密）。

否则我可能会使用不会通过电子邮件发送的第二个信息（例如密码）。 原因很简单，如果有人可以访问用户的电子邮件（如果您不终止会话，则使用 hotmail 很容易），他将可以访问用户发送的任何信息。

请注意，HTTPS 将对从您的站点发送到最终用户的数据进行保护和加密。 别的不说，就把它当作一个安全隧道。 不多也不少。

Answer 7

对于存在严重隐私问题的情况，我真的不认为这足够安全。 事实上，您在（可能是明文）电子邮件中发送 URL 是迄今为止最薄弱的链接。 之后是对令牌进行暴力攻击的风险，令牌（缺乏真正的身份验证机制的结构）可能比结构良好的用户名和密码设置更容易受到攻击。

顺便说一句，https 请求中的参数根本没有问题。

Answer 8

事实上，这将是一个坏主意。 您将通过简单的使用来牺牲安全性。 如前所述，SSL 只会保护服务器和客户端浏览器之间的信息传输，并且只会防止中间人攻击。 电子邮件风险很大且不安全。

最好是通过用户名和密码身份验证来访问信息。

我或多或少喜欢饼干的想法。 您还应该对 cookie 信息进行加密。
您还应该生成带有盐和关键短语的令牌以及 $_SERVER['HTTP_USER_AGENT'] 以限制攻击的可能性。 在 cookie 中存储尽可能多的有关客户端的非敏感信息以供验证使用。

关键短语可以存储在 cookie 中以便于使用，但请记住 cookie 也可能被窃取 =(。

最好让客户输入他提供的关键短语，该短语也与他的数据一起存储在数据库中。

或者，如果该人使用 $_SERVER['HTTP_USER_AGENT'] 参数不同或只是错过 cookie，则可以使用该密钥，因此

还可以确保敏感数据已加密 。你永远不知道数据库。

Answer 9

根据我对你的想法的理解，理论上有人可以输入随机的 40 个字符的字符串或 MD5 哈希值并获取其他人的详细信息。 虽然这种情况不太可能发生，但它只需要发生一次。

更好的解决方案可能是向用户发送一个令牌，然后要求他们输入一些详细信息，例如他们的姓名、邮政编码、ssn 或这些的组合。