我有一个Amazon S3 Bucket,其默认模式下的所有设置 . 当我转到我的Bucket Permissions选项卡并查看 Public access / Everyone 部分时,所有选项都是空的,所以一切都是私有的 .
现在我创建一个包含很长随机sha1-hash的文件夹,我在这个文件夹中上传一些文件和子文件夹,并将整个文件夹公开 . 是否可以检测(列出)此文件夹?
当我在浏览器https://s3.xxx.amazonaws.com/my-private-bucket中找到我的桶时,我看到: <Code>AccessDenied</Code> .
看起来很好 . 但也许有另一种方法来检测我的公用文件夹?
1 回答
如果您的Bucket Policy仅为该文件夹授予
s3:GetObject,则不应该公开指示该文件夹存在 . 但是,当用户的请求遍历Internet以访问Amazon S3时,各种系统可能会记录对这些对象的访问 . 您至少应该使用HTTPS来访问对象 .见:TechnoSophos: Allow only HTTPS on an S3 Bucket
请注意,Security through obscurity - Wikipedia通常被认为是一种糟糕的安全形式,因为任何知道链接到文件的人都可以访问该文件 . 不要将'hidden folders'用作敏感信息的安全形式 .
仅向授权人员授予访问权限的首选方法是让应用程序验证用户的身份,然后让它生成Amazon S3 pre-signed URLs,从而授予对Amazon S3中对象的限时访问权限 .