Perejti prie turinio
cutty.dev
All posts

Slaptažodžiu saugūs nuorodos — kas vyksta spustelėjus

Galite pridėti slaptažodį prie savo trumposios nuorodos. Mes parodome, kas vyksta „po pozworu“ — be jokio žargoninio kalbo — ir kodėl tai apskrittis verta padaryti.

Trumpa nuoroda su slaptažodžiu skamba paprastai. Įvedate slaptažodį, kito asmens turi jį įvesti, kad pamatytų, kur veda ši nuoroda. Žemiau vyksta šiek tiek daugiau. Rodome ką, kodėl ir kada tai naudinga.

Kodėl apskrittis apsaugoti nuorodą slapučiu

Trys kontekstai, kuriuose tai maža eiga:

Turinys, kurį norite parodyti tik tam tikems asmenims. Kangių kainos čekių skydelis „premium“ klientams, beta dokumentas prieš viešą paskelbimą, mokomoji medžiaga asmenims, sumokėjusiems už kursą. Be slaptažodžio kas nors galėtų rast šią nuorodą paieškoje arba gauti ją iš kitų rankų.

Turinys apie trumpą gyvybės ciklą, kurį norite apriboti. Specialus pasiūlymas penktadienį, medžiaga iš konferencijos, kuri bus prieinama tik dalyviams. Slaptažodis sukuria kontroliuojamą įėjimą per nuorodą — jūs esate tikri, kad lankytojas gavo slaptažodį iš jūsų rankų, o ne iš kitų šaltinių.

Turinys, kurį publikuojate viešai, bet norite išlaikyti kontrolę. Jūsų pilnas kainų sąrašas, jūsų vidinė produkto kūrimo procesas, jūsų pasiūlymas klientui. Nuorodą galima išsiųsti — tačiau be slaptažodžio niekas neįeis.

Kas vyksta nustatant slaptažodį

Įvedate slaptažodį nuorodos kūrimo formoje. Slaptažodis yra nedelsiant šifruojamas — pakeičiamas simbolių rinkiniu, kurio neįmanoma perskaityti. Pats faktas, kad slaptažodis yra "tajne123", išnyksta paspaudus „Išsaugoti“. Net aš, kaip svetainės administratorius, negaliu jo perskaityti.

Kas yra įrašyta duomenų bazėje: ne slaptažodis, o pirštoী atlynimas (techniškai „hash“) — eilutė, kuri atitinka jūsų slaptažodį tik tada, jei kažkas įves būtent tą patį. Jei kas nors įsilaužtų į mūsų bazę, gaus tik šias eilutes — ne slaptažodžius prie jūsų nuorodų.

Mes šiam naudojame pramoninį standartą, kurį naudoja dauguma interneto prisijungimo sistemų. Jis lėtas skaičiuoti tyč intentionaliai — kad hakeris, pavogęs duomenų bazę, turėtų laukti milijonus metų, kol atspėtų slaptažodžius.

Kas vyksta, kai kas nors spustelėja jūsų nuorodą

  1. Lankytojas mato atrakcinio ekrano vaizdą vietoj tiesioginio nukleidimo. Trumpa informacija „šis nuoroda yra apsaugota slaptažodžiu“ ir laukelis įvedimui.
  2. Įveda slaptažodį ir spustelėja „Atrakinti“. Slaptažodis serverio pusėje tikrinamas lyginant su išsisaugotu hash.
  3. Jei sutampa — lankytojas gauna sesijos tokenį, galiojantį 24 valandas. Kitą parą jis gali grįžti prie šios nuorodos neįvedamas slaptažodžio. Jis nereikia prisiminti.
  4. Jei nesutampa — klaidos pranešimas. Po penkių bandymų išto paties IP adreso — blokavimas penkiam minutėms. Botai nepateks jėga.

Ko NEDARYME

  • Neregistruojame slaptažodžių atviru tekstu. Niekada. Net duomenų analizės (debug) loguose.
  • Nesiunčiame slaptažodžių el. laišku. Net jei lankytojas pamirš, mes negalime jam priminti — nes mes patys nežinome. Jūs privalote jam išsiųsti slaptažodį išskirtinai iš tos paskyros, iš kurios jis jį gavo.
  • Nesiunčiame slaptažodžių trečiosiems šaliams. Jokie išoriniai analitikos, rinkodaros ar AI tiekėjai neturi prieigos prie šių duomenų.

Praktinės patarimai

Kurkite slapyvardžius, kurie nėra akivaizdūs. Įmonės pavadinimas + įkūrimo metai yra prastas planas. Naršyklėje esantis slaptažodžių generatorius tai daro geriau.

Nesiųskite slaptažodžio tuo pačiu kanalu kaip ir nuorodos. Jei nuorodą siunčiate el. laišku, slaptažodį siųskite SMS žinute. Arba atvirkščiai. Tokiu būdu įsilaužimas į vieną komunikacijos kanalą ne suteiks pilno prieigos.

Galite turėti kelias nuorodas su tuo pačiu tiksliniu URL, bet skirtingais slaptažodžiais. Naudinga, kai suteikiate prieimą skirtingiems asmenims — galite užblokuoti vieną nuorodą, kai šis prieitimas turi baigti darbą, nepaveikdami kitų.

Slaptažodį galima pakeisti nesukuriant naujo nuoros. Skydelyje „Redaguoti“ (Edytuj) → įveskite naują slaptažodį. Visos aktyvios 24 valandų sesijos bus iškart nutrauktos, kiekvienas lankytojas turės įvesti naują slaptažodį.

Kai slaptažodis NEužteks

Slaptažodis saugo nuo viešaus indeksavimo ir atsitiktinės prieigos. Jis nesaugo nuo asmens, kuris žino slaptažodį ir nori juo pasidalinti. Jei jūsų scenariui reikia „tik šis vienas konkretus žmogus gali tai matyti“ — jums papildomai reikia prisijungimo, vartotojų paskyrų, autorizacijos. Tai aukštesnio funkcionalumo lygis (planuojamas būsimame Pro planae).

95% atvejų „nenoriu, kad tai matytų atsitiktinis žmogus“ — šios frazės pakanka.

Išbandyk patys — kuriant nuorodą pažymėkite „Papildomos parinktys“ → „Pridėti slaptažodį“.