SORU
28 Aralık 2008, Pazar


Açığa veritabanı Kimlikleri güvenlik riski?

Veritabanı Kimliği (örneğin URL) açığa vuran bir güvenlik riski olduğunu duydum, ama sorun neden anlamakta güçlük çekiyorum.

Bu bir risk neden, ya da değil, neden herhangi bir görüş ya da link?

EDİT: tabii ki erişim kaynağı foo?id=123 görebiliyorsanız ... kapsamlı, örneğin. bir hata sayfası alırsınız. Aksi URL kendisini gizli olmalıdır.

Eğer URL sır ise, muhtemelen sınırlı bir ömür boyu, örneğin 1 saat için geçerli olan ve yalnızca bir kez kullanılan bir oluşturulan belirteç içerir. EDİT:

DÜZENLEME (bir ay sonra): bu benim için geçerli tercih edilen uygulama Kimliği için olacak biçimde kullanmak ve onları ortaya çıkarmak için. Eğer Kimlikleri olarak sıralı numaraları (genellikle bazı DBs performans için) kullanıyorum eğer bir UUID her giriş çipi üreten alternatif bir anahtar olarak seviyorum, ve bunu duyurmak.

CEVAP
28 Aralık 2008, Pazar


Uygun koşullar göz önüne alındığında, tanımlayıcıları açığa vuran bir güvenlik riski değil. Ve pratikte çok külfetli tanımlayıcıları göstermeden web uygulama tasarım olurdu.

Burada takip için iyi bir kural:

  1. Kullanımı tabanlı rol bir işlem erişimi kontrol etmek için güvenlik. Bu nasıl yapılır, seçtiğiniz platform ve çerçeve bağlıdır, ancak birçok eylem bazı yetki gerektirir, otomatik olarak kimlik doğrulaması bir adım tarayıcıları yönlendirir dayanan bir güvenlik modelini destekler.
  2. Programlı Güvenlik bir nesneye erişimi kontrol etmek için kullanın. Bu çerçevede bir seviyede yapmak daha zordur. Daha sık, kodunuzun içine yazmanız gereken bir şey olduğunu ve bu nedenle daha fazla hata eğilimli. Bu onay rol tabanlı Kullanıcı işlemi için yetkisi var, ama aynı zamanda belirli bir nesne üzerinde gerekli haklara sahip değil sadece sağlayarak değiştirilmesini kontrol ötesine geçer. Rol tabanlı bir sistem, kolay, sadece yöneticileri yükseltir verebilir kontrol etmek, ama bunun ötesinde, çalışanın belirli yöneticinin dairesine ait olduğuna emin olmak gerekir.
  3. Çoğu veritabanı kayıtları için, ve 2 koşulları 1 yeterlidir. Ama öngörülemeyen Kimlikleri ekleyerek fazladan tedbir olarak düşünülebilir, ya da "derin güvenlik, eğer bir kavram içine satın alırsanız". Öngörülemeyen tanımlayıcı bir zorunluluk olduğu bir yer, ancak, oturum KİMLİĞİ kendi isteği doğrular nerede Kimlikleri veya başka bir kimlik doğrulama belirteçleri. Bu şifreleme bir bölgede de yapalım tarafından oluşturulan olmalıdır.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Digital Bounds

    Digital Boun

    19 Temmuz 2013
  • New Challenger - Game Reviews

    New Challeng

    20 Temmuz 2006
  • The Exploiteers

    The Exploite

    4 Ocak 2011