Mongo ObjectID: безопасно использовать в дикой природе?

Question

Я разрабатываю API, который взаимодействует с MongoDB.

Теперь вопрос заключается в том, является ли безопасным использование необработанного ObjectID для запроса объектов и т. Д. Могут ли возникнуть проблемы с безопасностьювозникают при непосредственном использовании OID (например, в запросах), или я должен зашифровать / расшифровать их, прежде чем они покинут мою серверную среду?

Answer 1

Посмотрите спецификацию BSON Object ID здесь , и вы узнаете, если безопасно для вас использовать .

Если вы пытаетесь защитить от пользователей, отправляющих разныеURL-адреса из скриптов (fuskators), то, по-моему, он имеет слабую безопасность.Там не будет слишком много комбинаций деталей «машина», «pid».Часть времени может быть рассчитана, если злоумышленник может понять, как были вставлены данные (особенно если используется пакет).'inc' - очень слабый.

Я не буду доверять ObjectID как единственной безопасности.

Обратите внимание, что не может быть правильного ответа на вопрос "безопасно ли это" в целом,Вы должны решить сами.

PS.Но имейте в виду, что такая безопасность на основе URL-адресов превратится в пыль, когда пользователи будут делиться URL-адресами, которые они посетили.Даже самое лучшее ваше шифрование не поможет.

Answer 2

Я думаю, что это не намного безопаснее, если вы не будете использовать идентификаторы объектов, потому что возможный злоумышленник, который знает возможную проблему безопасности, может также использовать атаку методом грубой силы или что-то еще, чтобы получить объектидентификаторы.

В конце концов этот вопрос также может вам помочь.