Czy identyfikator OpenID danego użytkownika musi być zaszyfrowany, gdy jest przechowywany w bazie danych? Jeśli ktoś miałby do niego dostęp w zwykłym widoku, czy mogliby przedstawiać go jako tego użytkownika?Czy powinienem przechowywać encided openid reserved_id?
7
A
Odpowiedz
6
Argumentowany identyfikator jest bardzo podobny do nazwy użytkownika. Identyfikuje użytkownika zgodnie z jego dostawcą.
Tak więc, jeśli ktoś uzyskał dostęp do argumentu claim_id, nie byłby w stanie przedstawić się jako ten użytkownik, chyba że atakujący miał również hasło lub użytkownik był już zalogowany w systemie atakującego (lub atakujący mógł przerobić proces logowania w inny sposób).
Można więc traktować go jak nazwę użytkownika; Szyfrowanie nie jest wymagane, ale możesz poczuć się lepiej wiedząc, że jest tam dodatkowa warstwa zabezpieczeń.
Jeśli ktoś uzyska bezpośredni dostęp do Twojej bazy danych, może jednak narazić na szwank całą twoją witrynę w inny sposób.
Powiązane problemy
- 1. Czy powinienem szyfrować OpenID w mojej bazie danych?
- 2. Gdzie powinienem przechowywać klucz obcy?
- 3. Której wersji Erlanga OpenId powinienem użyć?
- 4. Czy powinienem przechowywać wyniki wyszukiwania w sklepie redux?
- 5. Czy powinienem przechowywać repozytorium git w Home lub Eclipse Workspace?
- 6. Czy powinienem przechowywać wszystkie dane w stanie vuex?
- 7. Gdzie powinienem przechowywać klucz api w szynach3?
- 8. Gdzie powinienem przechowywać stan mojej gry?
- 9. Czy MSN jest dostawcą OpenID?
- 10. Jak działa OpenID?
- 11. Czy należy przekonwertować zapisaną Markdown na HTML, czy też powinienem przechowywać HTML?
- 12. Gdzie powinienem przechowywać ustawienia konfiguracji witryny dla aplikacji Rails?
- 13. Jak powinienem przechowywać stan dla długotrwałego procesu wywołanego z Django?
- 14. Jak długo powinienem przechowywać moje projekty widelców na githubie?
- 15. Gdzie powinienem przechowywać ustawienia aplikacji dla wszystkich użytkowników spoza roamingu?
- 16. Jak powinienem przechowywać token wygenerowany przez RESTful API?
- 17. Mac OS X: Gdzie powinienem przechowywać typowe dane aplikacji?
- 18. OpenID na Androidzie
- 19. Czy jest dostępny dowolny pythonowy serwer OpenID?
- 20. Czy istnieje wtyczka OpenID 2.0 dla Symfony?
- 21. Czy Windows Live ID jest dostawcą OpenID?
- 22. Czy powinienem zutylizować Mutex?
- 23. Czy powinienem odkażać przecenę?
- 24. Czy powinienem ozdobić funkcję?
- 25. Czy powinienem przechowywać plik MANIFEST-a, który setup.py generuje pod kontrolą wersji?
- 26. Czy powinienem przechowywać aktywa binarne w ramach TFS? W jaki sposób?
- 27. WSGI Authentication: Homegrown, Authkit, OpenID ...?
- 28. Migracja Google OpenID do OpenID Connect: openid_id nie pasuje do
- 29. SAML 2.0 kontra OpenID
- 30. Czy powinienem okresowo aktualizować GeoLiteCity.dat?
Jeśli wartość mieszania Sha256 nie zostanie ucięta bez tajnego klucza, czy uzyskanie tej wartości lub wygenerowanie kolizji zajęłoby wieki? To powinno być dość bezpieczne. – XORcist
@ möter: Hmm, tak, nie myślałem o hashu, tylko o szyfrowaniu. Trafne spostrzeżenie! Usuwam część o atakującym, która prawdopodobnie będzie w stanie cofnąć szyfrowanie, jeśli będzie miała dostęp do twojego serwera, jednak prawdopodobnie będziesz mieć większe problemy, jeśli atakujący uzyska dostęp do twojego serwera ;-) – Cameron
To jest zdecydowanie coś, co chcę unikaj przede wszystkim: D – XORcist