Перейти до вмісту
cutty.dev
All posts

Безпека посилань із паролем — що відбувається, коли ви натискаєте

Ви можете додати пароль до свого короткого посилання. Ми показуємо, що відбувається під капотом, без складних термінів, і пояснюємо, навіщо це взагалі варто робити.

Коротке посилання з паролем працює просто. Ви вводите пароль, а хтось інший має ввести його, щоб побачити, куди веде це посилання. Але за лаштунками відбувається дещо більше. Ми пояснюємо, що, чому і коли це може бути корисним.

Навіщо взагалі захищати посилання паролем

Три контексти, у яких це має сенс:

Вміст, який ви хочете показувати лише визначеним особам. Ціни для преміум-клієнтів, документи бета-версії до публічного оголошення, навчальні матеріали для тих, хто заплатив за курс. Без пароля хтось міг би знайти це посилання у пошуковій системі або отримати його з інших джерел.

Контент із коротким терміном придатності, який ви хочете закрити. Спеціальна пропозиція на п'ятницю, матеріал з конференції, який має бути доступний лише для учасників. Пароль перетворює посилання на контрольований вхід — ви впевнені, що відвідувач отримав пароль від вас, а не з інших джерел.

Вміст, який ви публікуєте публічно, але хочете мати контроль. Ваш повний прайс-лист, ваш внутрішній продуктовий процес, ваша пропозиція для клієнта. Посилання можна надіслати — але без пароля ніхто не зможе увійти.

Що відбувається, коли ви встановлюєте пароль

Ви вводите пароль у формі створення посилання. Пароль миттєво шифрується — перетворюється на рядок символів, який неможливо прочитати. Сам факт того, що пароль є "tajne123", зникає в момент натискання кнопки "Зберегти". Навіть я, як особа, яка керує сайтом, не маю можливості його прочитати.

Що зберігається в базі: не пароль, а відбиток пальця (технічно "хеш") — рядок, який відповідає вашому паролю лише тоді, коли хтось введе точно такий самий. Якщо хтось проникне в нашу базу, він отримає лише ці рядки — не паролі до ваших посилань.

Ми використовуємо галузевий стандарт, який застосовується більшістю систем автентифікації в мережі. Він безкоштовний для обчислення навмисно — щоб хакер, який викрав базу даних, мусив чекати мільйони років на вгадування паролів.

Що відбувається, коли хтось натискає ваше посилання

  1. Відвідувач бачить екран розблокування замість прямого перенаправлення. Коротке повідомлення "це посилання захищене паролем" та поле для введення.
  2. Вводить пароль і натискає "Розблокувати". Пароль перевіряється на сервері проти збереженого хешу.
  3. Якщо збігається — відвідувач отримує токен сесії, дійсний протягом 24 годин. Протягом наступних діб він може повертатися до цього посилання без введення пароля. Не потрібно запам'ятовувати.
  4. Якщо не збігається — повідомлення про помилку. Після п'яти спроб з одного IP-адреси — блокування на п'ять хвилин. Боти не зможуть увійти силою.

Що МИ НЕ робимо

  • Ми не зберігаємо паролі у відкритому вигляді. Ніколи. Навіть у журналах для налагодження.
  • Ми не надсилаємо паролі на електронну пошту. Навіть якщо відвідувач забуде свій пароль, ми не можемо його нагадати — бо ми самі його не знаємо. Вам потрібно надіслати пароль знову з того облікового запису, з якого ви його отримали.
  • Ми не передаємо паролі третім сторонам. Жоден зовнішній постачальник аналітики, маркетингу чи ШІ — не має доступу до цих даних.

Практичні поради

Створюйте паролі, які не є очевидними. Ім’я компанії + рік заснування — це слабкий варіант. Генератор паролів у браузері робить це краще.

Не надсилайте пароль тим самим каналом, що й посилання. Якщо ви надсилаєте посилання електронною поштою, надішліть пароль SMS-повідомленням. Або навпаки. Тоді проникнення в один канал комунікації не дасть повного доступу.

Ви можете мати кілька посилань з однаковим цільовим URL, але різними паролем. Це корисно, коли ви надаєте доступ різним людям — ви можете заблокувати одне посилання, коли цей доступ має завершитися, без впливу на інших.

Пароль можна змінити без створення нового посилання. На панелі натисніть «Редагувати» → введіть новий пароль. Усі активні 24-годинні сесії миттєво стануть недійсними, і кожному відвідувачу потрібно буде ввести новий пароль.

Коли пароль НЕ достатній

Пароль захищає від публічного індексу та випадкового доступу. Не захищає від особи, яка знає пароль і хоче ним поділитися. Якщо ваш сценарій вимагає «тільки ця одна конкретна людина може це побачити» — вам також потрібне вхід, облікові записи користувачів та авторизація. Це вищий рівень функціональності (заплановано у майбутньому плані Pro).

Для 95% випадків «не хочу, щоб випадкова людина це побачила» — паролі достатньо.

Спробуйте самі — під час створення посилання виберіть «Розширені параметри» → «Додати пароль».