رفتن به محتوا
cutty.dev
All posts

امنیت لینک‌های دارای رمز عبور — وقتی کلیک می‌کنید چه اتفاقی می‌افتد؟

می‌توانید برای لینک کوتاه خود رمز عبور بگذارید. ما بدون استفاده از اصطلاحات پیچیده، آنچه در پس‌زمینه در حال رخ دادن است و دلیل اهمیت آن را به شما نشان می‌دهیم.

لینک کوتاه با رمز عبور ساده به نظر می‌رسد. شما رمز عبور را وارد می‌کنید، و شخص دیگری باید آن را وارد کند تا ببیند این لینک به کجا ختم می‌شود. در زیر، کمی بیشتر توضیح داده شده است. ما نشان می‌دهیم چه چیزی، چرا، و چه زمانی مفید است.

چرا اصلاً باید از لینک با رمز عبور محافظت کرد

سه زمینه‌ای که در آن‌ها منطقی است:

محتوایی که می‌خواهید فقط به افراد خاص نشان دهید. لیست قیمت برای مشتریان ویژه، سند بتا قبل از اعلام عمومی، مطالب آموزشی برای افرادی که هزینه دوره را پرداخت کرده‌اند. بدون رمز عبور، کسی ممکن است این لینک را در موتور جستجو پیدا کند یا آن را از طریق شخص دیگری دریافت کند.

محتوایی با ماندگاری کوتاه که می‌خواهید محدود کنید. پیشنهاد ویژه برای جمعه، مطلبی از کنفرانس که قرار است فقط برای شرکت‌کنندگان در دسترس باشد. رمز عبور، لینک را به یک ورودی کنترل‌شده تبدیل می‌کند — شما اطمینان دارید که بازدیدکننده رمز را مستقیماً از شما دریافت کرده است، نه از دست دوم.

محتوایی که به صورت عمومی منتشر می‌کنید اما می‌خواهید کنترل آن را داشته باشید. لیست کامل قیمت‌های شما، فرآیند داخلی محصول شما، پیشنهاد شما به مشتری. لینک را می‌توان ارسال کرد — اما بدون رمز عبور هیچ‌کس نمی‌تواند وارد شود.

وقتی رمز عبور خود را تنظیم می‌کنید چه اتفاقی می‌افتد

شما رمز عبور را در فرم ایجاد لینک وارد می‌کنید. رمز عبور بلافاصله رمزگذاری می‌شود — و به رشته‌ای از کاراکترها تبدیل می‌شود که قابل خواندن نیست. حتی این واقعیت که رمز عبور "tajne123" است، در لحظه کلیک بر روی "Zapisz" از بین می‌رود. حتی من، به عنوان مدیر سرویس، راهی برای خواندن آن ندارم.

آنچه در پایگاه داده ذخیره شده است: نه رمز عبور، بلکه اثر انگشت (از نظر فنی "hash") — رشته‌ای که تنها در صورتی با رمز عبور شما مطابقت دارد که کسی دقیقاً همان را وارد کند. اگر کسی به پایگاه داده ما نفوذ کند، فقط این رشته‌ها را به دست می‌آورد — نه رمزهای عبور لینک‌های شما.

ما از این استاندارد صنعتی که توسط اکثر سیستم‌های ورود به شبکه استفاده می‌شود، استفاده می‌کنیم. این استاندارد عامدانه برای محاسبه‌ی کند طراحی شده است — تا هکری که پایگاه داده را سرقت کند، مجبور باشد میلیون‌ها سال منتظر حدس زدن رمزهای عبور بماند.

وقتی کسی روی لینک شما کلیک می‌کند چه اتفاقی می‌افتد

  1. بازدیدکننده صفحه قفل شدن را می‌بیند به جای انتقال مستقیم. یک پیام کوتاه "این لینک با رمز عبور محافظت شده است" و یک فیلد برای تایپ کردن.
  2. رمز عبور را وارد کرده و روی "باز کردن" کلیک می‌کند. رمز عبور در سرور با هش ذخیره شده چک می‌شود.
  3. اگر درست باشد — بازدیدکننده یک توکن نشست (session token) معتبر به مدت ۲۴ ساعت دریافت می‌کند. در طول ۲۴ ساعت آینده می‌تواند بدون وارد کردن رمز عبور به این لینک بازگردد. نیازی به یادآوری ندارد.
  4. اگر نادرست باشد — پیام خطا نمایش داده می‌شود. پس از پنج تلاش از یک آدرس IP مشابه — مسدودسازی به مدت پنج دقیقه. ربات‌ها نمی‌توانند با زور وارد شوند.

آنچه انجام نمی‌دهیم

  • ما رمزهای عبور را به صورت متن ساده ثبت نمی‌کنیم. هرگز. حتی در لاگ‌های مربوط به عیب‌یابی (debug).
  • ما رمزهای عبور را از طریق ایمیل ارسال نمی‌کنیم. حتی اگر بازدیدکننده فراموش کند، ما نمی‌توانیم آن را به او یادآوری کنیم — زیرا خود ما هم نمی‌دانیم. شما باید رمز عبور را دوباره از همان حسابی که او دریافت کرده بود، برایش ارسال کنید.
  • ما رمزهای عبور را برای اشخاص ثالث ارسال نمی‌کنیم. هیچ ارائه‌دهنده خارجی در زمینه‌های تحلیل، بازاریابی یا هوش مصنوعی (AI) — به این داده‌ها دسترسی ندارد.

نکات کاربردی

رمزهای عبوری بسازید که بدیهی نباشند. نام شرکت + سال تأسیس ایده ضعیفی است. تولیدکننده رمز عبور در مرورگر این کار را بهتر انجام می‌دهد.

رمز عبور را از همان کانالی که لینک را می‌فرستید، ارسال نکنید. اگر لینک را از طریق ایمیل می‌فرستید، رمز عبور را با پیامک (SMS) بفرستید. یا برعکس. در این صورت، نفوذ به یک کانال ارتباطی، دسترسی کامل را فراهم نمی‌کند.

شما می‌توانید چندین لینک با یک URL مقصد یکسان اما پسوردهای متفاوت داشته باشید. این زمانی مفید است که به افراد مختلف دسترسی می‌دهید — می‌توانید یک لینک را وقتی زمان دسترسی آن تمام شده است مسدود کنید، بدون اینکه تأثیری بر سایرین داشته باشد.

رمز عبور را می‌توان بدون ایجاد لینک جدید تغییر داد. در پنل، "Edytuj" ← رمز عبور جدید را وارد کنید. تمام نشست‌های فعال ۲۴ ساعته بلافاصله منقضی می‌شوند و هر بازدیدکننده باید رمز عبور جدید را وارد کند.

وقتی رمز عبور کافی نیست

رمز عبور از ایندکس عمومی و دسترسی تصادفی محافظت می‌کند. از فردی که رمز عبور را می‌داند و می‌خواهد آن را به اشتراک بگذارد، محافظت نمی‌کند. اگر سناریوی شما مستلزم این است که «فقط همین یک فرد خاص بتواند این را ببیند» — شما به ورود به سیستم، حساب‌های کاربری و احراز هویت اضافی نیاز دارید. این سطح بالاتری از قابلیت‌ها است (که در برنامه Pro آینده برنامه‌ریزی شده است).

برای ۹۵٪ موارد «نمی‌خواهم یک فرد تصادفی این را ببیند» — این عبارت کافی است.

خودتان امتحان کنید — هنگام ایجاد لینک، «تنظیمات پیشرفته» ← «افزودن گذرواژه» را انتخاب کنید.