【问题标题】:Why shall I obfuscate the ids of my records in rails?为什么我要在 Rails 中混淆我的记录的 ID?
【发布时间】:2013-07-21 08:00:06
【问题描述】:

当我使用 CanCan gem 时,我会检查当前用户是否创建了所需的记录,如果不是,我会重定向到另一个操作 ..

那么,为什么加密通过路由发送的 id 很重要?

像这样保持简单有那么危险吗?

http://www.mydomain.com/posts/5

【问题讨论】:

    标签: security devise ruby-on-rails-3.2 cancan


    【解决方案1】:

    我从未听说有人声称混淆 ID 可以提高安全性。听起来像security through obscurity

    你能引用声称应该混淆 id 的消息来源吗?

    【讨论】:

    • 不,但我经常阅读人们试图加密 id 的问题,我看到抽象的答案没有任何解释为什么他们应该这样做..
    • @simo 我认为如果您认为需要加密您的 id 以确保您的应用程序安全,那么还有一些其他的安全漏洞需要解决。只要查询字符串中的数据不敏感(社会保险号、密码等),并且您在请求数据时进行授权检查(确保当前用户有权查看与指定 id 关联的数据),那么将 id 放入查询字符串中应该没有问题。
    • 查询字符串中的ids是db中记录的id,它们与用户的敏感数据无关,只有db ids ..
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2010-09-07
    • 2011-03-01
    • 2021-04-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多