должны ли userIdInt, commentid и т. д. быть зашифрованы на веб-сайте?

Question

В настоящее время я показываю некоторые из этих commentid и userIdInt (и, возможно, другие вещи!) На веб-страницах (не напрямую, но если вы нажмете «просмотреть исходный код») ... Должен ли я их зашифровать? Я все равно хочу зашифровать userIdIt. Что насчет commentId? Какие идентификаторы вообще должны быть зашифрованы? Stackoverflow не шифрует вопросительные, верно? (Потому что это правильно в URL, но, возможно, это так, и мы видим зашифрованный идентификатор в URL).

Если это имеет значение, я использую ASP.NET MVC.

Answer 1

Вдобавок ко всему, единственные причины, которые я могу придумать для оправдания «шифрования» или иным образом запутывания идентификаторов сущностей:

• Во избежание утечки данных (например, если у вас естьна небольшом сайте вы можете не захотеть, чтобы люди видели, что их идентификатор равен «10», что означает, что на сайте есть только 9 человек).
• Поскольку сервер неправильно проверяет возможности, поэтомуНечестивый пользователь, изменяющий идентификатор в источнике страницы, может предоставить им доступ к иным ограниченным материалам.

Существуют «лучшие» решения для каждой из этих проблем (во-первых, вы можете просто сместить идентификаторы пользователей на10000, и на секунду вы могли бы добавить соответствующие проверки возможностей)… Так что я бы сказал: нет, вам, вероятно, не следует «зашифровывать» / запутывать идентификаторы сущностей.

Answer 2

Как правило, вам не нужно шифровать свои идентификаторы.

Если вы видите какую-либо конкретную угрозу безопасности, вы должны упомянуть ее в вопросе, но в целом, если вы считаете, что идентификаторы будут использоваться для перехвата форм / запросов, шифрование их не является решением, вам нужно искать решение, предотвращающее угон. (Google для подделки межсайтовых запросов).