9
私はMongoDBとやりとりするAPIを設計しています。Mongo ObjectIDs:野生で安全に使えますか?
safe OIDを直接使用するときにセキュリティ問題が発生する可能性がありますか?またはそれらを暗号化/復号化する必要がありますか彼らは私のサーバー環境を離れますか?
A
答えて
10
BSONオブジェクトIDの指定hereを見てください。の場合は、を使用しても安全です。
スクリプト(fuskators)から異なるURLを送信しているユーザーから保護しようとすると、セキュリティが弱いようです。あまりにも多くの '機械'、 'pid'の部分の組み合わせはありません。攻撃者がデータがどのように挿入されたかを知ることができる場合(特にバッチを使用する場合)、「時間」の部分が計算できます。 'inc' - 非常に弱い。
唯一のセキュリティとしてObjectIDが信頼されません。
一般的に「安全か」という質問には正解はありませんのでご注意ください。あなたは自分で決める必要があります。
PS。しかし、このようなURLベースのセキュリティは、ユーザーが訪問したURLを共有するときには紛らわしいことに注意してください。最高の暗号化でさえ助けにならないでしょう。
2
オブジェクトIDを共有しないと、セキュリティ上の問題を知る可能性のある攻撃者がブルートフォース攻撃などを使用してオブジェクトID
最終的にthis questionもお手伝いします。
関連する問題
- 1. ID(Objective from Mongo)はURLで安全に使用できますか?
- 2. C#で型安全なMongoオブジェクトIDを取得するには?
- 3. 安全にASP.NET MVCでスレッドを生成できますか?
- 4. PhoneGapは野生ですか?
- 5. データベースエラーが発生した後でDbContextを安全に使用できますか
- 6. pthread_cond_waitは完全に安全ですか?
- 7. 安全なvb.net winフォームアプリケーションで私を覚えていますか?
- 8. 小文字のメールアドレスを安全に扱えますか?
- 9. `npm`を` yarn`に完全に置き換えても安全ですか?
- 10. マルチレリージョンオートスケーラでプリエンプティブサーバを安全に使用できますか?
- 11. APIキーでfile_get_contentsを安全に使用できますか?
- 12. SVG要素でaddEventListenerを安全に使用できますか?
- 13. PayPal .NET SDKはXamarin.Formsで安全に使用できますか?
- 14. シグナルハンドラでSIGRTMINとSIGRTMAXを安全に使用できますか?
- 15. 無料でcallocを安全に使用できますか?
- 16. このログインをクッキーで安全に使用できますか?
- 17. 生産時にジャンゴ昆布でセロリを使うのは安全ですか?
- 18. ランダムなファイル名で安全なURL安全な文字列を生成する
- 19. 安全で安全なセッション名とは何ですか?
- 20. SAS Google Map Generator、安全なデータで安全ですか?
- 21. ブーストメッセージキューのスレッドは安全でプロセスは安全ですか?
- 22. セッションを安全にカウントする方法:Session_Start/End in Global.Asaxは安全で安全ですか?
- 23. dompdf + file_get_contentsは安全に使用できますか?
- 24. マーキーは安全に使用できますか?
- 25. ブラケットのウェブサイトとテキストエディタは安全に使用できますか?
- 26. java.io.BufferedOutputStreamは安全に使用できますか?一見
- 27. JDK7は安全に使用できますか?
- 28. ngStorageを安全に使用できますか?
- 29. 「ラインハイト」スタイルは安全に使用できますか?
- 30. C++:longjmpとsetjmpを安全に使用できますか?