对象存储分享的下载地址安全吗?

2020-12-31 16:17:18 +08:00
 wsseo
Bucket 权限是私有,里面的文件有一个分享链接,有效期是默认是 300 秒。
我把这个链接单独分享好给好友,别人会知道吗?因为没有密码。
2412 次点击
所在节点    程序员
11 条回复
Tokin
2020-12-31 17:09:33 +08:00
敏感数据不要这样操作吧。比如你通过 QQ 发链接,那腾讯可能会知道...
90928yao
2020-12-31 17:27:20 +08:00
没明白啥意思 你分享给你好友 不就只有你和你好友知道吗。。。
wsseo
2020-12-31 17:28:08 +08:00
@90928yao 按理说是这样,但是知道链接的人都能访问
keepeye
2020-12-31 17:37:14 +08:00
特定情况下有可能被窃听的,比如你通过 wx 分享的。
once1mo
2020-12-31 17:44:06 +08:00
你说的这个安全性问题和对象存储本身没啥关系。
回到问题上来说「我把这个链接单独分享好给好友,别人会知道吗?」,看你怎么分享的,有可能会被泄漏。
别人知道链接就能在有效期内下载。
tcfenix
2020-12-31 17:48:12 +08:00
有几种办法
1 分散法
可以链接分开来 qq 发三分之一 百度网盘放三分之一 钉钉发三分之一

2 公私钥加密
这边建议公钥的传输可以换一个途径, 比如邮政寄件, 就要一个出其不意

-------------
其实我更加好奇的是, 你这个链接里面到底是放了什么羞羞的东西让你这么紧张
kuro1
2020-12-31 17:53:37 +08:00
用非常规编码,收到转一下就行了
my3157
2020-12-31 20:19:15 +08:00
带签名和过期时间的 url , 在有效期内相当于公开的, 任何人拿到都是可以访问的, 建议:

1. 通过可靠的途径传播 url
2. 降低有效期, 比如 30 秒
3. 如果是知道访问者 ip, 并且访问者 ip 不变, 可以用过 policy 加 ip match
4. 如果是网站访问, 加 CORS 和 url reference match
dzdh
2020-12-31 20:23:40 +08:00
一次可用就行了
codehz
2020-12-31 20:55:47 +08:00
也不是不可以徒手搓一个 DH 密钥交换
opengps
2020-12-31 21:57:04 +08:00
肯定不安全啊,有效期内,虽然被主动扫描到的难度很高,但是被动被提取到的难度却低很多

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/740684

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX