¿Cómo puedo generar una "URL privada" con el estado del arte del equilibrio entre seguridad y comodidad?

Question

¿Dónde puedo encontrar una discusión técnica bien escrita y en profundidad sobre las "URL privadas" como las que se usan en Google Docs '"cualquiera con el enlace" sharing setting? Estoy buscando temas como el algoritmo y la implementación para generar un enlace, el tamaño del espacio de ID que utiliza, el análisis de las implicaciones de seguridad y los compromisos pragmáticos en materia de seguridad para mayor comodidad. Quiero evitar leer dogmas sobre "seguridad a través de la oscuridad".

Encontré una loosely related Stack Overflow question, pero no trata el tema con mucha profundidad, y las respuestas son más dogmáticas y menos pragmáticas de lo que quisiera.

He buscado en Google Scholar para "anyone with the link", "secret URL" y "private URL". He encontrado unos papeles y patentes interesantes, pero todavía estoy interesado en aprender más acerca de lo que es el estado del arte. [1] [2] [3] [4] [5]

Answer 1

sospecho que la falta de respuesta a esta pregunta es principalmente un reflejo del hecho de que 1) el espacio problemático está muy matizado y 2) las personas que lo han resuelto antes no tienen ganas de hablar sobre lo que han hecho. Intentaré desafiar la tendencia. :)

pragmática, las siguientes variables tienden a dominar las conversaciones que he visto:

• Si un usuario tiene el enlace en la mano y FWDs a los amigos, es esta una característica o un error?
• Si el propietario del contenido desea revocar el acceso (es decir, revocar el enlace), ¿qué tan fácil debe ser hacerlo? ¿Qué tan frecuente de un evento es?
• ¿Debería transcurrir el tiempo de espera del enlace? Si es así, ¿cuánto tiempo?
• ¿Dónde está "la línea" en nuestra comodidad aquí? Por ejemplo, si se trata de un enlace a un documento, ¿solo se lee lo suficiente? ¿Debería ser capaz de leer y escribir? ¿Hay un límite para nuestra comodidad dado el modelo de amenaza?
• ¿Hay un límite en la cantidad de veces que se puede usar el enlace?
• ¿Nos importa si los enlaces son bonitos o pueden tener una gran mancha fea en ellos?
• ¿Qué tipo de preocupaciones existen en el control de versiones de los enlaces, los servicios de fondo y las cosas que pueden causar cambios bruscos?
• Si el contenido subyacente se mueve/los enlaces cambian, ¿deberían romperse los enlaces privados que se han enviado? En términos más generales, ¿qué tipo de operaciones deberían romper los enlaces y qué impacto tendría la experiencia del usuario si eso sucediera?
• Suponiendo que un atacante altamente capacitado busca tus enlaces, ¿qué otras defensas existen para evitar adivinar contra el espacio y qué historia de instrumentación tienes? A continuación, superponga esto con los cálculos en los enlaces mismos y convencese de que tiene un modelo de amenaza donde se necesita adivinar un enlace singular, y con un modelo de costos tal que es extremadamente costoso.

En términos de implementaciones, no conozco los documentos ni las implementaciones estándar que hacen esto. Todos los que he formado parte (tristemente, he sido parte de más de uno ...) han sido personalizados. Podría proponer un conjunto singular de concesiones y comentar sobre ellas aquí, pero no estoy seguro de que sea útil. Todos responderían las preguntas de manera diferente.

Me complace comentar más sobre su situación particular con más datos ...