Czy identyfikator OpenID danego użytkownika musi być zaszyfrowany, gdy jest przechowywany w bazie danych? Jeśli ktoś miałby do niego dostęp w zwykłym widoku, czy mogliby przedstawiać go jako tego użytkownika?Czy powinienem przechowywać encided openid reserved_id?
Argumentowany identyfikator jest bardzo podobny do nazwy użytkownika. Identyfikuje użytkownika zgodnie z jego dostawcą.
Tak więc, jeśli ktoś uzyskał dostęp do argumentu claim_id, nie byłby w stanie przedstawić się jako ten użytkownik, chyba że atakujący miał również hasło lub użytkownik był już zalogowany w systemie atakującego (lub atakujący mógł przerobić proces logowania w inny sposób).
Można więc traktować go jak nazwę użytkownika; Szyfrowanie nie jest wymagane, ale możesz poczuć się lepiej wiedząc, że jest tam dodatkowa warstwa zabezpieczeń.
Jeśli ktoś uzyska bezpośredni dostęp do Twojej bazy danych, może jednak narazić na szwank całą twoją witrynę w inny sposób.
Jeśli wartość mieszania Sha256 nie zostanie ucięta bez tajnego klucza, czy uzyskanie tej wartości lub wygenerowanie kolizji zajęłoby wieki? To powinno być dość bezpieczne. – XORcist
@ möter: Hmm, tak, nie myślałem o hashu, tylko o szyfrowaniu. Trafne spostrzeżenie! Usuwam część o atakującym, która prawdopodobnie będzie w stanie cofnąć szyfrowanie, jeśli będzie miała dostęp do twojego serwera, jednak prawdopodobnie będziesz mieć większe problemy, jeśli atakujący uzyska dostęp do twojego serwera ;-) – Cameron
To jest zdecydowanie coś, co chcę unikaj przede wszystkim: D – XORcist