Javascriptのクライアント側でUUIDを作成することは危険ですか？

Question

最終的にデータベースに格納するには、UUIDを生成する必要があります。クライアントブラウザ（Javascript）からこれらのUUIDを生成できますか（There are some examples here）？

このようなセキュリティ上のリスクはありますか？私は、誰でもUUIDを保存してからサーバーに渡して保存できることを理解しています。だから私は彼らがデータベースに格納する前にtrullyユニークであるかどうかをチェックする必要がありますが、それ以外の場合、チェックアウトする他のものはありますか？

（私の英語のため申し訳ありませんが、任意の文法エラーを修正して自由に感じる）

編集：私はこれをしたいと思う理由についての質問に答えるために、私は新しいオブジェクトを作成することができますので、それはだ、それは中の識別子ですJavascriptを使用してビューに追加し、サーバーにAJAX呼び出しを行ってデータベースに追加します。このようにして、データベースからそれをロードして、何が主識別子であるかを知る必要はありません。

Answer 1

それが単純な識別子で、それ以上のものでない限り、実際に妥当性と一意性をチェックしている限り、例えば、URLにidを持つユーザーアカウントと変わりません。

あなたのURLバーを見てください。私は1296234がこの質問の主な鍵だと思っていますが、私はその情報で本当に何もできません。あなたのスクリプトと同じ取引。

Answer 2

これらのクライアント側の生成にどのようなメリットがありますか？すべての正直なところ、最良の選択肢は、ユーザーの手の届かない範囲でサーバー側を生成することです。重大なセキュリティ上の問題からあなたを救うことはできませんが、冗長な検証ではなくなります。

Answer 3

データベースでIDを生成（増分）できないような理由はありますか？

あなたが言っているように、とにかくそれを提出する前に値の一意性をチェックしなければならない場合、使用しているバックエンド言語を生成するだけではいかがですか？それははるかに不透明にするでしょう。

Answer 4

はい。リスクはUUIDに固有のものではなく、クライアント側で生成されたIDには、IDの処理内容に応じていくつかのリスクがあります。問題は、Javascriptを認証することが非常に難しいことです。クライアントが生成したIDを受け入れる場合は、ハッカーからIDを受け取ります。

リスクは、

1. セッションスチールを含むことができます。セッションを識別するためにIDを使用する場合、既存のIDを生成IDとして使用してもよく、適切な管理が取られていない場合、サーバーは既存のセッションとして扱うことがあります。

2. 重複するキー。真のUUIDはランダムですが、誰かが重複した鍵を生成してデータベースを台無しにすることがあります。

これらの攻撃に対して防御する方法がありますが、これは受動的な保護です。これは、クライアント上でIDを生成するという本来の目的を破る可能性があります。これは簡単です。