請問一下付費免空的問題
 

這個問題是我長久以來的疑問，請問有在付費使用免空的網友們，如果把某個檔案的直接下載位址分享給別人，別人有無可能從網址裡面挖出你的帳號和密碼呢？

我還沒遇過能這樣作的.

給檔案的網址如何動態生成, 可能各家作法不一, 雖然網址可能是一串有時效的編碼,

但若這串編碼能容易的反解站主的帳密, 我會視為那是無法接受的bug.

實作上我也認為那網址應該只需要與檔案本身相關, 而不必涉及帳密, 作起來會簡單些.

舉個例子,如果是像以下那樣子的呢?

這樣子會被反譯出來或是從瀏覽器的cookie裡挖出來嗎?

這個網址我在別台電腦測試過,是可以直連下載的.而且沒有時間限制。

那就要看你那一串亂碼是怎麼產生的, 如果它的運作機制所組成的元素以及組成的演算法

是可逆的,那才有可能反譯. 不過實務上我不會去擔心這個事情, 因為有session id

基本上就是一個有時效性的指標, 不然你拿一個兩年前的這類網址, 我相信應該是連不到

該檔案的. 另外,當未知演算法則時, 編碼則視為不可逆, 因為你無法確定是否為唯一解,

即使知道演算法,也還要知道原始資料結構,不然未必會有意義. 我認為不是該網站的構建者

不會那麼容易能從hash/code過後的亂碼解譯出甚麼東西. 更何況這種static link不會

去關聯站主帳密, 不然你可以做一個實驗, 你自己上傳一個檔案到免空, 拿那個連結給朋友

然後你去更改自己的密碼, 你朋友的那個下載連結應該還是可以用, 故可間接證明 那個

連結跟你的帳密是無關的.

多謝這麼詳盡的解釋，我回去實驗一下。