が危険をUUID Javascriptのクライアント側の?

StackOverflow https://stackoverflow.com/questions/1296234

  •  18-09-2019
  •  | 
  •  

質問

Iを生成しなければならないUUIDを最終的に店舗の改善に取り組んでいます。●できるかを論文のUUIDをJavascriptからクライアントブラウザいているものもいくつかありますこちら)?

あなセキュリティリスクのそこのそうです。理解しているものの変更は可能でUUIDの前で渡されるサーバーに保管する。なんだかtrullyなる前に保管し、データベースが、あなたのものにチェックアウト?

にたどり着きました。ら、お気軽に是正、その他の文法誤差)

編集: ご質問にお答えいかいたいということができます新しいオブジェクトで識別子Javascriptに追加してください私た後、AJAXのサーバーへの追加のためにデータベースです。このように思うのは必要な荷重でのデータベースからどうのこうので小識別子です。

役に立ちましたか?

解決

そうでもありません。限り、それは単純な識別子と何よりもだし、あなたが実際に有効性と独自性のためにそれをチェックしているように、それは例えば、URLのidを持つユーザーアカウントよりも異なるません。

あなたのURLバーを見てください。私は1296234がこの質問の主キーである賭け、私は実際にその情報を何もすることはできません。スクリプトと同じ契約ます。

他のヒント

あなたはこれらのクライアント側を生成する際にどのような利益を見ていますか?正直なところ、最良のオプションは、ユーザーが手の届かないところに、それをサーバー側を生成することです。これは、任意の深刻なセキュリティ上の問題から、あなたのセーブ与えないかもしれないが、それは冗長な検証を削減します。

そうです。リスクはない特有のUUIDは、クライアント側で発生するIDの一部のリスクに応じているIDです。問題は非常に難しいの認証が可能です。合わせIDを生成クライアントは、一切お受けIDsからの記事を日本語訳したものです。

のリスクがあること、を含む場合があるが、

  1. セッションを盗む.ご利用の場合を識別するためのIDを指定セッションでは、誰かが使用する既存のIDとして発生するIDおよびサーバー扱いとして既存のセッションの場合適切なケアがない。

  2. 重複します。真のUUIDではランダムで人を生成できるキーが重複するすべての空港を表示一部の空港を表データベース.

を感じるかもしれませんがつにおけるそれぞれの攻撃のパッシブを保護します。この敗戦の本来の目的に生成するIdがクライアントは、シンプルです。

は、データベースが生成することはできません何らかの理由(インクリメント)IDはありますか?

あなたが言うように、あなたはそれを生成し使用しているものは何でも、バックエンドの言語だけではありませなぜ、とにかくそれを提出する前に、値の一意性をチェックする必要があります、場合。それはそれをはるかに不透明になるだろう。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top