UI

Question

पर डेटाबेस आईडी का खुलासा करना यह वेब फ़ॉर्म-ओवर-डेटा प्रकार की चीज़ के लिए एक शुरुआती पैटर्न प्रश्न है। मैं Exposing database IDs - security risk? पढ़ा है और स्वीकार जवाब मुझे यह सोच कर कि यह समय की बर्बादी है, लेकिन प्रतीक्षा करें ...

मैं एक MVC परियोजना एक व्यापार तर्क पुस्तकालय संदर्भित है, और NHibernate एसक्यूएल की एक सभा में एक ही संदर्भित खजाने है। अगर किसी ने मेरे हाथ को मजबूर कर दिया और उन नियंत्रकों को सीधे मेरे नियंत्रक कोडबेस से संदर्भित किया, तो मुझे पता चलेगा कि क्या गलत हुआ। लेकिन जब वे नियंत्रक डेटाबेस रिकॉर्ड आईडी के साथ यूआरएल पैरामीटर में बात करते हैं, तो क्या यह केवल गलत लगता है?

मैं उन आईडी की कल्पना नहीं कर सकता जो कभी भी उपभोग करने योग्य (एमवीसी कार्यों द्वारा) को बदलते हैं। मैं नहीं सोचता मुझे डेटाबेस में एक ही पंक्ति के अनुरूप दो यूआई इकाइयों की आवश्यकता होगी। मैं किसी भी तरह से आईडी की व्याख्या करने के लिए नियंत्रक का इरादा नहीं रखता हूं। सरोगेट कुंजी शून्य अंतर करेगी। फिर भी, मुझे समस्या है क्योंकि तर्कसंगत डिज़ाइन के बारे में धारणाएं परत-वगैरह निर्भरताओं से बेहतर नहीं हैं।

आप एक वेब एप्लिकेशन कैसे बना सकते हैं जो केवल व्यापार तर्क असेंबली का संदर्भ देता है और बीएल ऑब्जेक्ट्स और GUID में वार्ता करता है जिसका केवल उस सत्र के लिए अर्थ है, जबकि असेंबली डेटाबेस आईडी का उपयोग करके लेनदेन जारी रखती है?

Answer 1

आप एन्क्रिप्ट कर सकते हैं या यदि आप चाहते हैं तो अपने आईडी हैश। नमक के रूप में सत्र आईडी का उपयोग करना। ये संदर्भ पर निर्भर करता है। एक सार्वजनिक शॉपिंग साइट जो आप चाहते हैं कि कैटलॉग पेज आसानी से कॉपी करने योग्य हों। उपयोगकर्ता खाता व्यवस्थापक आईडी को एन्क्रिप्ट करने के लिए ठीक है, इसलिए उपयोगकर्ता किसी और के खाते में हैक यूआरएल नहीं कर सकते हैं।

मैं इस पर विचार नहीं होगा अंधकार से सुरक्षा हो। यदि किसी दुर्भावनापूर्ण उपयोगकर्ता के पास एक समझौता खाता है, तो वह उस उपयोगकर्ता के रूप में लॉग इन करते समय सेट किए गए सभी फॉर्म फ़ील्ड्स, यूआरएल आईडी और कुकी मानों को देख सकता है। फिर वे अनुमतियों को बढ़ाने के लिए एक अलग उपयोगकर्ता के रूप में लॉग इन करते समय उन लोगों का उपयोग करने का प्रयास कर सकते हैं। लेकिन नमक के रूप में सत्र आईडी का उपयोग करके उन्हें सुरक्षित करके, आपने उस डेटा को बंद कर दिया है, इसलिए यह केवल एक सत्र में उपयोगी है। पृष्ठों को बुकमार्क भी नहीं किया जा सकता है। क्या वे आपकी सुरक्षा का पता लगा सकते हैं? संभवतः। लेकिन संभावना है कि वे सिर्फ एक और साइट पर चले जाएंगे। यदि आप अंदर जाना चाहते हैं तो अपने कार के दरवाजे को लॉक करना वास्तव में आपकी कार से बाहर नहीं रहता है, लेकिन यह कठिन बनाता है, इसलिए हर कोई इसे करता है।

Answer 2

मैं कोई सुरक्षा विशेषज्ञ नहीं हूं, लेकिन मुझे उपयोगकर्ता को कुछ आईडी, जैसे कि उत्पाद आईडी, उपयोगकर्ता आईडी और कुछ भी सामान्य रूप से पढ़ा जा सकता है, का अर्थ है, जिसका अर्थ है कि यदि मैं कोई उत्पाद प्रदर्शित करता हूं उपयोगकर्ता, अपनी उत्पाद आईडी प्रदर्शित करना कोई समस्या नहीं है।

ऐसी चीजें जो सिस्टम के लिए आंतरिक हैं जो उपयोगकर्ता सीधे लेनदेन आईडी की तरह इंटरैक्ट नहीं करते हैं, मैं उपयोगकर्ता को प्रदर्शित नहीं करता हूं, न कि उन्हें किसी भी तरह से संपादित करने के डर में, बल्कि इसलिए कि यह जानकारी नहीं है उनके लिए उपयोगी है।

अक्सर फॉर्म में, मेरे पास "mysite.com/messages/view/5" पर कार्रवाई बिंदु होगा, जहां 5 वह संदेश है जिसे वे देखना चाहते हैं। इन कार्यों में से सभी में, मैं हमेशा यह सुनिश्चित करता हूं कि उपयोगकर्ता को यह देखने के लिए पहुंच हो (संशोधित या हटाएं, जिसे कभी कार्यक्षमता आवश्यक है), एक साधारण डेटाबेस जांच करके और लॉग इन उपयोगकर्ता संदेश स्वामी के बराबर है।

Answer 3

आप कुछ लोग हैं जो कहते हैं कि आईडी सिर्फ एक कार्यान्वयन विस्तार कर रहे हैं, सबसे प्रणालियों में आप विशिष्ट एक डोमेन इकाई पहचानने के किसी तरीके की जरूरत है, और सबसे अधिक संभावना आप उस पहचानकर्ता के लिए एक आईडी उत्पन्न होगा मिलेगा है। तथ्य यह है कि आईडी डेटाबेस द्वारा उत्पन्न एक कार्यान्वयन विस्तार है; लेकिन एक बार यह उत्पन्न हो जाने के बाद यह डोमेन इकाई का गुण बन जाता है, और इसलिए जहां भी आपको इकाई का संदर्भ देने की आवश्यकता होती है, इसका उपयोग करना पूरी तरह से उचित है।

Answer 4

बहुत बहुत सावधान रहें क्योंकि पैरामीटर छेड़छाड़ डेटा संशोधन का कारण बन सकती है। इन आईडी को उजागर करते समय 'कौन से आईडी एक्सेस कर सकते हैं' पर नियम आपके आवेदन में बहुत सावधानीपूर्वक बनाए गए होंगे।

उदाहरण के लिए, यदि आप ऑर्डर आईडी पर आधारित ऑर्डर अपडेट कर रहे हैं, तो लोड और अपडेट के लिए अपने कहां में शामिल करें: जहां order.orderid = passInOrderId और ऑर्डर।ग्राहक आईडी =

मैं MVC में संग्रहीत आईडी उपलब्ध यहाँ के साथ मदद करने के लिए एक विस्तार विकसित:

http://mvcsecurity.codeplex.com/

इसके अलावा, मैं इस बारे में बात पर मेरी सुरक्षा पाठ्यक्रम में एक सा: Hack Proofing your ASP.NET MVC and Web Forms Applications

Answer 5

उन प्रतिक्रियाओं के अलावा, कभी कभी यह स्पष्ट पहचान-पत्र का उपयोग करें ताकि लोगों को जानकारी वे चाहते हैं के लिए यूआरएल को हैक कर सकते हैं अच्छा है। उदाहरण के लिए, www.music.com \ कलाकार \ एसीडीसी या www.music.com \ arist \ smashing-pumpkins। यदि यह आपके उपयोगकर्ताओं के लिए सार्थक है और यदि आप जानकारी को बढ़ा सकते हैं तो उपयोगकर्ता यूआरएल के माध्यम से पृष्ठ से समझता है तो बेहतर होगा और खासकर यदि आपका बाजार खंड युवा या तकनीकी समझदार है तो आईडी को अपने लाभ के लिए उपयोग करें। यह आपके एसईओ को भी बढ़ावा देगा। मैं कहूंगा कि इसका उपयोग कब नहीं किया जाता है, फिर इसे एन्कोड करें। यह केवल एक डेवलपर को एक सत्र के खिलाफ ग्राहक आईडी की जांच न करने के लिए एक गलती लेता है और आप अपने पूरे ग्राहक आधार का पर्दाफाश करते हैं।

लेकिन जाहिर है, अपने इकाई परीक्षण है कि पकड़ने चाहिए!