Премини към съдържанието
cutty.dev
All posts

Сигурността на връзките с парола — какво се случва, когато кликнете

Можеш да добавиш парола към своя кратък линк. Показваме какво се случва „под капака“ — без използване на жаргон — и защо изобщо си струва.

Кратък линк с парола звучи просто. Въвеждате паролата, някой друг трябва да я въведе, за да види къде води този линк. Под него се случва малко повече. Показваме какво, защо и кога е полезно това.

Защо изобщо да се защитава линк с парола

Три контекста, в които има смисъл:

Съдържание, което искате да покажете само на определени лица. Ценораздел за премиум клиенти, бета документ преди публично обявяване, обучително материал за хора, които са платили за курса. Без парола някой може да открие тази връзка в търсачка или да я получи от трета страна.

Съдържание с краток срок на живот, което искате да ограничите. Специална оферта за петък, материал от конференция, който трябва да бъде достъпен само за участниците. Паролата превръща линка в контролиран вход — имате сигурност, че посетителят е получил паролата от вас, а не от трета страна.

Съдържание, което публикувате публично, но искате да имате контрол. Вашият пълен списък с цени, вашият вътрешен продуктов процес, вашата оферта за клиента. Линкът може да бъде изпратен — но без парола никой няма да влезе.

Какво се случва, когато задавате парола

Въвеждате паролата във формата за създаване на линк. Паролата се криптира незабавно — превърната е в поредица от символи, които не могат да бъдат прочетени. Самият факт, че паролата е "tajne123", изчезва в момента на кликване върху „Запиши“. Дори аз, като администратор на услугата, нямам начин да я прочета.

Какво е записано в базата: не парола, а отпечатък от пръст (технически „hash“) — низ, който съвпада с твоята парола само ако някой въведе точно същото. Ако някой разбие нашата база, ще получи само тези низове — не паролите за твоите връзки.

Използваме за това индустриален стандарт, използван от повечето системи за вход в мрежата. Той е бавен при изчисляване нарочно — така че хакер, който открадне базата данни, да трябва да чака милиони години, за да отгатне паролите.

Какво се случва, когато някой кликне върху вашия линк

  1. Посетителят вижда екрана за отключване вместо директно пренасочване. Кратна информация „този линк е защитен с парола“ и поле за въвеждане.
  2. Въвежда паролата и клика върху „Отключи“. Паролата се проверява на сървъра спрямо записания хеш.
  3. Ако съвпада — посетителят получава сесиен токен, валиден 24 часа. През следващите 24 часа може да се връща на този линк без въвеждане на парола. Не е необходимо да я помни.
  4. Ако не съвпада — съобщение за грешка. След пет опита от същия IP адрес — блокиране за пет минути. Ботовете няма да влязат със сила.

Какво НЕ правим

  • Не записваме пароли в чист текст. Никога. Дори и в логовете за дебъгване.
  • Не изпращаме пароли по имейл. Дори ако посетителят ги забрави, ние не можем да му ги напомним — защото и ние не ги знаем. Трябва да му изпратите паролата отново от същия акаунт, от който я е получил.
  • Не изпращаме пароли на трети страни. Нито един външен доставчик на аналитика, маркетинг или AI — няма достъп до тези данни.

Практически съвети

Създавайте пароли, които не са очевидни. Име на фирмата + година на създаване е слаба идея. Генераторът на пароли в браузъра го прави по-добре.

Не изпращайте паролата по същия канал, по който изпращате линка. Ако изпращате линка по имейл, изпратете паролата чрез SMS. Или обратното. По този начин пробив в единия комуникационен канал няма да даде пълен достъп.

Можете да имате няколко линка със същия целеви URL, но с различни пароли. Полезно е, когато предоставяте достъп на различни лица — можете да блокирате един линк, когато този достъп трябва да приключи, без да влияете на останалите.

Паролата може да бъде променена без създаване на нов линк. В панела, "Edytuj" → въведете нова парола. Всички активни 24-часови сесии ще изтекат незабавно, всеки посетител трябва да въведе новата парола.

Когато паролата НЕ е достатъчна

Паролата предпазва от публично индексиране и от неволен достъп. Не предпазва от лице, което знае паролата и иска да я сподели. Ако вашият сценарий изисква „само този един конкретен човек може да го види“ — имате нужда допълнително от вход, потребителски акаунти, авторизация. Това е по-високо ниво на функционалност (планирано в бъдещия Pro план).

За 95% от случаите „не искам случаен човек да го види“ — фразата е достатъчна.

Опитай сам — при създаване на линк маркирайте „Разширени опции“ → „Добави парола“.