Должен ли я шифровать GUID, передаваемый по URL-параметрам?

Question

Мы создаем приложение Silverlight, и нам нужно передать несколько параметров вместе с URL-адресом вызывающего сайта.

пример: http://oursite.com/index.aspx?test=d53ae99b-06a0-4ba7-81ed-4556adc532b2

Мы хотим предоставить вызывающему веб-сайту 'test 'строка, которая ссылается на GUID нашей таблицы, которая сообщает приложению Silverlight, какова его задача, когда они прибывают.Мы также используем этот GUID для аутентификации в нашем приложении.

GUID таков:

1. d53ae99b-06a0-4ba7-81ed-4556adc532b2
2. 8354b838-99b3-4b4c-bb07-7cf68620072e

В зашифрованном виде значения намного длиннее:

1. l5GyhPWSBUw8KdD + TpWJOsoOFDF0LzmGzx0 * * 0 * WGF2-WF2 / dv6 * dv2-d-d-d-d-d-d-d-d-v-d-d-d-d-d-d-d-d-v-d-d-v-d-d-d-v-d-d-v-d-v-d-d-d-v-d-v-d-v-d-v-d-v-d-v-d-v-d) dv6-d-v-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-d-v-d-d-d-d-d-d-d-d-d-d-d-d-d 0 6Q7 + U4njb5AOKnx6Ga9xoAsvCET6MyjM5TV6dO86OexaCXDiXaES

Мой вопрос заключается в том, должны ли мы предоставить им GUID в зашифрованном виде или, как он, в незашифрованном виде?

Это имеет значение?

Какой у всех опыт такого типа передачи параметров?

Answer 1

В вопросах шифрования ключом является определение контекста безопасности.Что мог бы кто-то сделать, если бы у него был доступ к исходным GUID?Если они не могли сделать ничего опасного, нет смысла шифровать, и, как правило, лучше не шифровать.Если существует какая-либо угроза безопасности, связанная с тем, что эта информация является общедоступной, вам лучше ее зашифровать.

Поскольку вы говорите:

Мы также используем это руководство для аутентификации в нашем приложении средидругие вещи

... Полагаю, вы захотите зашифровать.Но вы можете пересмотреть свою стратегию аутентификации.Часто лучше использовать проверенные временем, хорошо принятые методы для таких вещей, как аутентификация и шифрование, поскольку вы можете быть относительно уверены, что неизвестных эксплойтов нет.