मैं एक एपीआई डिजाइन कर रहा हूं जो मोंगोडीबी के साथ बातचीत करता है।मोंगो ऑब्जेक्टिड्स: जंगली में उपयोग करने के लिए सुरक्षित?
अब सवाल है, अगर यह सुरक्षित वस्तुओं आदि के लिए क्वेरी करने के लिए कच्चे ObjectID उपयोग करने के लिए किसी भी सुरक्षा के मुद्दों पैदा कर सकता जब OIDs सीधे का उपयोग कर (प्रश्नों में जैसे) है, या मैं एन्क्रिप्ट चाहिए/से पहले उन्हें डिक्रिप्ट वे मेरे सर्वर पर्यावरण छोड़ देते हैं?
बीएसओएन ऑब्जेक्ट आईडी विनिर्देश here पर देखें और आपको पता चलेगा कि का उपयोग करना आपके लिए सुरक्षित है या नहीं।
यदि आप स्क्रिप्ट्स (फस्केटर) से अलग-अलग यूआरएल भेजने वाले उपयोगकर्ताओं से सुरक्षा करने का प्रयास करते हैं तो ऐसा लगता है कि इसमें कमजोर सुरक्षा है। बहुत अधिक 'मशीन', 'पिड' भाग संयोजन नहीं होंगे। 'समय' भाग की गणना की जा सकती है अगर हमलावर को पता चल सके कि डेटा कैसे डाला गया था (विशेष रूप से यदि बैच का उपयोग करना)। 'inc' - बहुत कमजोर।
मैं ऑब्जेक्ट आईडी को केवल सुरक्षा के रूप में भरोसा नहीं करूंगा।
कृपया ध्यान दें कि सामान्य रूप से "सुरक्षित है" प्रश्न का सही उत्तर नहीं हो सकता है। आपको खुद को तय करना होगा।
पीएस। लेकिन ध्यान रखें कि ऐसी यूआरएल-आधारित सुरक्षा धूल में आ जाएगी जब उपयोगकर्ता उनके द्वारा देखे गए यूआरएल साझा करेंगे। यहां तक कि सबसे अच्छा आपका एन्क्रिप्शन मदद नहीं करेगा।
मुझे लगता है कि यह ऑब्जेक्ट आईडी साझा नहीं करता है, क्योंकि एक संभावित हमलावर, जो संभावित सुरक्षा समस्या को जानता है, एक ब्रूट फोर्स अटैक या कुछ और प्राप्त करने के लिए कुछ और भी सुरक्षित हो सकता है, ऑब्जेक्ट आईडी
अंततः this question आपकी मदद भी कर सकता है।