在一个仅自己知道网址的网页上放密码，是否可行呢？

pastebin 里很多这种啊。私密唯一链接

不过国产浏览器都会各种官家、安全、助手帮你扫描网址。。。。

我觉得不可行，因为你的浏览数据可能会被浏览器共享。

机器人一天不知道爬多少回~

还不如自建个 vaultwarden 密码管理器

就算是公开网站上放也没事
你甚至可以在这个帖子里放一串密码
只要你不说，别人也不知道这是哪个账户的密码
比如：xqMqR9v*RBP9C!AfNXo
你可以在任意第几位增加一个特殊字符，或减少一个字符，这都是独一无二的密码

vaultwarden 是犯了天条么 何况 vaultwarden 还有 OTP

你可以放在多个网站上，比如 a 站放密码前两位，b 站放四五位，c 站放 67 位，谁都不知道是啥

@lambdaq @BG7ZAG
他们怎么扫啊？总不能遍历所有网址吧？

@beimenjun
浏览器共享确实是隐患。只用比如 safari 这种比较封闭的浏览器呢。

@wkj89
只是突发奇想。

@totoro625 @creazyrabbit
这个相当于又引入了另一层加密。我是好奇孤立的网页的安全性。

只要是公网上的网页，就不可能只有你自己知道

@ttgo #7 有没有可能加密是说给别人听的，实际上这放的字符串就是完整的密码

肯定是不安全，如果不是那么重要的密码，给网站访问加个简单的验证？

我家的 ipv6 only 服务，看日志没人来访问。

ipv4 会被扫，总共就那么几个，全扫也不费很多时间。

不可行，只要你访问过，浏览器、插件、路由器等所有经过的设备和软件，都知道这个网址的存在，不排除他们会去爬取扫描

当年好多盗 qq 的木马，盗取以后直接上传到网站的 txt 文件，，，然后被搜索引擎可以检索出一些关键字，，，

> 他们怎么扫啊？总不能遍历所有网址吧？

你好, 会的. 我那个小鸡, 开着 nginx, 天天被扫, 各种 wp 相关的目录爆破...后来心烦了, 直接在 cf 把省外和国外的域名访问直接 ban 了.

建议至少配一下 nginx 的 auth_basic_user_file

@wu67 wp 的是有字典吧。比如 https://xx.com/H6ZcbrmXMDSc6b ，我就不信会被扫到啊。

@renfei https 的话路由器、isp 等都看不到完整网址

@ttgo 我意思是只要你开了 域名解析 http 服务, 他们就会来搞, 什么路径根本不重要. 即使你只挂上 nginx 的欢迎页, 那些爬虫一样会来疯狂访问. 感觉是 dns 服务商跟那些爬虫公司有什么 py 交易...

该扫还是扫，网站的本质就是指向 ip 。

你可以试一下租一个 cloud 服务器，里面什么都不做，也不提供任何访问外部访问，，就单纯创建实例后打一下 log ，一天有多少人来对着你的 ip 碰撞 SSH 密码登录。
那别人都能扫到你的 ip 来碰撞了，想扫你的网页地址也是可以的。

肯定可行啊，你可以定期换密码不就行了

可以实现啊, 页面前端加密就是了.

https://demo.qs5.org/202410/your-secret/

看看谁能解开密码.

太多工具可以了，CTF 没玩过？

可以参考一下我这个项目 https://github.com/ahui2016/MiMa.html

就一个 html 文件，纯前端，单文件，真加密。

关键技术是 TiddlyWiki 和 Stanford Javascript Crypto Library

加个简单密码验证就可以了

直接放到 github 私有仓库不更好？？

有些后台登陆页面地址就是这样的，但是把密码放在这里，还是要慎重

@SuperMild starred

可行啊，只放密码不放账号，不放是哪个站点的密码，就完全可以啊
但是你要是把站点+账号+密码都放上去，那一定会被扫到

别放密码明文全部就行了，只放提示

加个微信扫描登录

直接密码放公网上，然后留下一段话：
“想要我的宝藏吗？如果想要的话，那就到网络上去找吧，我全部都放在那里。”

赛博大航海时代来了

在油管上传一个视频，然后用视频 ID 做密码

[无认证] 但是 [仅自己知道] 的 [网页] 放 [明文] 密码

每个 [] 内都可以优化下增加安全性。

有扫描，无推广无收录就自己玩的，看网站日志依然有很多其他访问。

让网关和云服务器保持一条 site-to-site VPN 吧，敏感信息直接还是用内网地址访问，手机在外就拨个 L2TP VPN 按纽再访问也不麻烦
要是嫌 VPN 麻烦，还可以在你的网站插入一个检测 IP 地址段是否合规的函数，在敏感页面调用一下，日常偶尔维护一下 IP 白名单，也是一个可行的方法
安全第一

http 协议的话一切都白搭。
https 的话，要看你的浏览器会不会记录 url ，以及浏览器自身会不会作恶。

https + basic auth 。然后再配合自己知道的网址，要好一些感觉

@zsh2517 除非扔到 CDN 或者其他托管平台（但是这样又不是“只有自己知道”了），否则现代的网关比如 nginx caddy 等都能上 basic auth 。

https ，然后 nginx 给那个文件开 basic auth （不要整个站点开，其他路径走的 444 或者默认页之类的），浏览器不记住密码，我觉得差不多够了（虽然还是不如其他方案好

我密码口令都是公开放的，既然是公开放的，那必然是一长串无意义字符串（有意义的串自己早背下来了）。
这些公开存放的密码口令字符串，需要使用的时候，固定某几位替换为自己生日就行了，公开串别人拿了也没用。

可行，只要你不说，不会有人知道那是你的密码

@zerovoid 竟然有人跟我一样！！！我就是这样，搞个随机的，比如 b8oVP2$V%5zTzrko ，明文存着，然后要用的时候在某个位置插入一些字符

@ttgo #15 还有浏览器安装的插件，可以获取到 https 也不行，这些插件可以获取到页面上的内容，相当于直接在你解密以后的页面中可以任意插入他们插件的 JS 代码，获取到页面上的东西

完全可以，就算别人知道了这是密码，但是是什么网站的密码呢？

加一个验证啊，比如我会把网站的一些日志用网页的形式以表格的排版显示出来，但会有验证，首次需要输入密码验证，后续有 cookie 了就能直接访问了，每个月验证一次

dns txt

赛博大航海了属于是

翻开随身携带的记事本
写着许多事都是关于你

就自己访问，加浏览器指纹白名单

2024 年了，还有那么可爱的人

你需要这个吗 https://b64s.uk

我觉得可以，然后给这个网页再加个访问限制，输入帐号密码才能打开，我搞有些网页就只有我能打开

可以再狠点儿，打开页面需要指纹验证

@zerovoid #37 假设你的密码串 20 位，在知道你生日的情况下一共有 20C8 = 125970 种可能，就算不知道你的生日，从 1950 - 2010 大约 22000 天，125970 * 22000 也不过 30 亿种可能，用一台家用计算机算不到一个星期就能算出来。而 20 位数字 + 字母大小写一共可以有 62^20 种可能性，是一个天文数字。

总结下来就是不要自己发明加密算法

如果一定要这么做，至少用上 https 再加一个 basic auth ，使用主密码保护一下。比随机生成的网址要靠谱。

@LanhuaMa 不是加密算法，这种方法只考虑便捷性，如果考虑安全性，其实也还行，首先，没人知道我在某个网页里存的字符串是密码，其次，他们即使他们知道这是我的密码，他们也不知道是哪个网站的密码，最后，即使他们知道密码对应的网站，正常网站也不会允许高频率测试密码。

手头上有一个类似需求的业务，放的不是密码不过也是敏感数据，就是把该私密网页放到网站的根目录以外，然后在网站目录下的不同未公开路径下分别放置网页 1 和网页 2 ，网页 1 负责显示供一次性使用的定时刷新的验证码，网页 2 负责接收验证码输入提交到后端验证通过后返回私密网页的数据，这样网页 1 的路径再设置仅允许特定设备访问，网页 2 则可以在任意设备访问。只要确保网页 1 和网页 2 被同时发现并联系起来的概率足够低，那这个私密网页就是相对安全的。