Сам GUID очень сложно угадать или перебор.Существует 125 возможных идентификаторов GUID (не 2 ^ 128), поскольку некоторые биты имеют фиксированное значение ).
Большими проблемами будут
- МногиеБраузеры предоставляют историю браузера (см. здесь или здесь или здесь ) для не связанных страниц.
- Если пользователь добавляет закладку на страницу оформления заказа, его специальныеGUID может быть получен из закладок.
- Атаки «человек посередине» (хотя, вероятно, вы используете SSL на данном этапе, поэтому проблема не возникает).
Если цель состоит в том, чтобы разрешить кому-либо ссылаться на заказ, который он ранее разместил, я бы разрешил GUID предварительно заполнять имя пользователя для удобства, но по-прежнему требовать пароль.
Если это происходит во времяво время сеанса просмотра, и по какой-то причине вам нужен GUID (не можете ли вы сохранить эту информацию в сеансе пользователя?), я бы предпочел создать для этой цели одноразовый GUID, а не показывать уникальный идентификатор пользователя.Сопоставьте одноразовый GUID с фактическим уникальным идентификатором пользователя в коде сервера (может быть соленым хешем реального GUID или может быть отображен в таблице сопоставления).