Μετάβαση στο περιεχόμενο
cutty.dev
All posts

Ασφάλεια συνδέσμων με κωδικό πρόσβασης – τι συμβαίνει όταν κάνετε κλικ

Μπορείς να προσθέσεις κωδικό στον σύντομο σύνδεσμά σου. Σου δείχνουμε τι συμβαίνει πίσω από τις κουρτίνες, χωρίς τεχνική ορολογία, και γιατί αξίζει πραγματικά.

Ο σύνδεσμος με κωδικό είναι απλός. Πληκτρολογείς τον κωδικό και κάποιος άλλος πρέπει να τον πληκτρολογήσει για να δει πού οδηγεί αυτός ο σύνδεσμος. Από κάτω συμβαίνει λίγο περισσότερα. Σου δείχνουμε τι, γιατί και πότε είναι χρήσιμο.

Γιατί να προστατεύουμε καθόλου τους συνδέσμους με κωδικό

Τρεις πλαίσια στα οποία έχει νόημα:

Το περιεχόμενο που θέλετε να εμφανίζεται μόνο σε συγκεκριμένα άτομα. Τιμολόγιο για πελάτες premium, έγγραφο beta πριν από τη δημόσια ανακοίνωση, εκπαιδευτικό υλικό για άτομα που έχουν πληρώσει για το μάθημα. Χωρίς κωδικό πρόσβασης, κάποιος θα μπορούσε να βρει αυτόν τον σύνδεσμο σε μηχανή αναζήτησης ή να τον λάβει από τρίτο μέρος.

Περιεχόμενο με σύντομο χρόνο ζωής που θέλεις να κλείσεις. Ειδική προσφορά για Παρασκευή, υλικό από διάσκεψη που θα είναι διαθέσιμο μόνο στους συμμετέχοντες. Ο κωδικός μετατρέπει τον σύνδεσμο σε έλεγχο πρόσβασης — έχεις την βεβαιότητα ότι ο επισκέπτης έλαβε τον κωδικό απευθείας από εσένα, όχι από τρίτο μέρος.

Το περιεχόμενο που δημοσιεύετε δημόσια αλλά θέλετε να έχετε τον έλεγχο. Η πλήρης λίστα τιμών σας, η εσωτερική διαδικασία προϊόντος σας, η προσφορά σας προς τον πελάτη. Ο σύνδεσμος μπορεί να σταλεί — αλλά χωρίς κωδικό πρόσβασης κανείς δεν θα μπορέσει να εισέλθει.

Τι συμβαίνει όταν ορίζετε κωδικό πρόσβασης

Εισάγετε τον κωδικό στη φόρμα δημιουργίας συνδέσμου. Ο κωδικός κρυπτογραφείται άμεσα — μετατρέπεται σε μια ακολουθία χαρακτήρων που δεν είναι αναγνώσιμη. Το γεγονός ότι ο κωδικός είναι το "tajne123" εξαφανίζεται τη στιγμή που πατάτε "Αποθήκευση". Ακόμα κι εγώ, ως διαχειριστής της ιστοσελίδας, δεν έχω τρόπο να τον διαβάσω.

Τι αποθηκεύεται στη βάση δεδομένων: όχι ο κωδικός πρόσβασης, αλλά η δακτυλική αποτύπωση (τεχνικά «hash») — μια συμβολοσειρά που ταιριάζει με τον κωδικό πρόσβασής σου μόνο αν κάποιος πληκτρολογήσει ακριβώς το ίδιο. Αν κάποιος διεισδύσει στη βάση μας, θα λάβει μόνο αυτές τις συμβολοσειρές — όχι τους κωδικούς πρόσβασης για τους συνδέσμους σου.

Χρησιμοποιούμε το βιομηχανικό πρότυπο που χρησιμοποιείται από τα περισσότερα συστήματα σύνδεσης στο διαδίκτυο. Είναι εσκεμμένα αργό — ώστε ένας χάκερ που θα έκλεβε τη βάση δεδομένων να πρέπει να περιμένει εκατομμύρια χρόνια για να μαντέψει τους κωδικούς πρόσβασης.

Τι συμβαίνει όταν κάποιος κάνει κλικ στον σύνδεσμά σου

  1. Ο επισκέπτης βλέπει την οθόνη ξεκλειδώματος αντί για άμεση ανακατεύθυνση. Μια σύντομη ειδοποίηση «αυτός ο σύνδεσμος προστατεύεται με κωδικό πρόσβασης» και ένα πεδίο εισαγωγής.
  2. Πληκτρολογεί τον κωδικό πρόσβασης και πατάει «Ξεκλείδωμα». Ο κωδικός ελέγχεται στον διακομιστή έναντι του αποθηκευμένου hash.
  3. Αν ταιριάζει — ο επισκέπτης λαμβάνει ένα διακριτικό συνεδρίας έγκυρο για 24 ώρες. Την επόμενη μέρα μπορεί να επιστρέψει σε αυτόν τον σύνδεσμο χωρίς να πληκτρολογήσει ξανά τον κωδικό. Δεν χρειάζεται να τον θυμάται.
  4. Αν δεν ταιριάζει — μήνυμα σφάλματος. Μετά από πέντε προσπάθειες από την ίδια διεύθυνση IP — αποκλεισμός για πέντε λεπτά. Τα bots δεν θα μπούν με τη βία.

Τι ΔΕΝ κάνουμε

  • Δεν καταγράφουμε τους κωδικούς σε καθαρή μορφή. Ποτέ. Ακόμη και στα logs για αποσφαλμάτωση.
  • Δεν στέλνουμε κωδικούς μέσω email. Ακόμη κι αν ο επισκέπτης ξεχάσει τον κωδικό, εμείς δεν μπορούμε να του τον θυμίσουμε — γιατί ούτε εμείς τον γνωρίζουμε. Πρέπει να του τον στείλετε ξανά από τον λογαριασμό από τον οποίο τον έλαβε αρχικά.
  • Δεν στέλνουμε κωδικούς σε τρίτους. Κανένας εξωτερικός πάροχος αναλυτικών στοιχείων, μάρκετινγκ ή AI — δεν έχει πρόσβαση σε αυτά τα δεδομένα.

Πρακτικές συμβουλές

Δημιουργήστε κωδικούς πρόσβασης που δεν είναι προφανείς. Το όνομα της εταιρείας συν το έτος ίδρυσης είναι μια κακή ιδέα. Ο γεννήτορας κωδικών πρόσβασης του περιηγητή το κάνει καλύτερα.

Μην στέλνετε τον κωδικό πρόσβασης στο ίδιο κανάλι με τον σύνδεσμο. Αν στέλνετε τον σύνδεσμο μέσω email, στείλτε τον κωδικό πρόσβασης μέσω SMS. Ή το αντίστροφο. Έτσι, η διείσδυση σε ένα κανάλι επικοινωνίας δεν θα δίνει πλήρη πρόσβαση.

Μπορείς να έχεις πολλούς συνδέσμους με τον ίδιο προοριστικό URL αλλά διαφορετικούς κωδικούς. Χρήσιμο όταν δίνεις πρόσβαση σε διάφορα άτομα — μπορείς να μπλοκάρεις έναν σύνδεσμο όταν λήξει η πρόσβαση, χωρίς να επηρεάσεις τους άλλους.

Ο κωδικός πρόσβασης μπορεί να αλλάξει χωρίς τη δημιουργία νέου συνδέσμου. Στο πάνελ, επιλέξτε «Επεξεργασία» → εισάγετε τον νέο κωδικό πρόσβασης. Όλες οι ενεργές συνεδρίες 24 ωρών θα λήξουν άμεσα· κάθε επισκέπτης θα πρέπει να εισάγει τον νέο κωδικό πρόσβασης.

Όταν ο κωδικός ΔΕΝ αρκεί

Ο κωδικός προστατεύει από τον δημόσιο ευρετήριο και την τυχαία πρόσβαση. Δεν προστατεύει από άτομο που γνωρίζει τον κωδικό και θέλει να τον μοιραστεί. Αν το σενάριό σου απαιτεί «μόνο αυτός ο συγκεκριμένος άνθρωπος μπορεί να το δει» — χρειάζεσαι επιπλέον σύνδεση, λογαριασμούς χρηστών, εξουσιοδότηση. Πρόκειται για υψηλότερο επίπεδο λειτουργικότητας (προγραμματισμένο στο επόμενο πλάνο Pro).

Για το 95% των περιπτώσεων όπου «δεν θέλω να το δει κάποιος τυχαίος» — ο κωδικός πρόσβασης αρκεί.

Δοκιμάστε το μόνοι σας — κατά τη δημιουργία συνδέσμου, επιλέξτε «Προηγμένες επιλογές» → «Προσθήκη κωδικού πρόσβασης».