sql >> Database >  >> NoSQL >> MongoDB

Mongo ObjectID's:veilig te gebruiken in het wild?

Bekijk hier de BSON Object ID-specificatie en u weet of het veilig voor u is om te gebruiken .

Als u probeert te beschermen tegen gebruikers die verschillende URL's van scripts (fuskators) verzenden, lijkt het mij dat het een zwakke beveiliging heeft. Er zullen niet te veel combinaties van 'machine', 'pid' onderdelen zijn. 'tijd'-deel kan worden berekend als aanvaller een idee kan hebben hoe gegevens zijn ingevoegd (vooral bij gebruik van batch). 'inc' - erg zwak.

Ik vertrouw ObjectID's niet als de enige beveiliging.

Houd er rekening mee dat er in het algemeen geen juist antwoord kan zijn op de vraag "is het veilig". U moet zelf beslissen.

ps. Houd er echter rekening mee dat dergelijke op URL's gebaseerde beveiliging in duigen zal vallen wanneer gebruikers URL's delen die ze hebben bezocht. Zelfs uw encryptie zal niet helpen.



  1. Kan geen verbinding maken met alternatieve Mongo DB in Meteor App

  2. Hoe $setDifference in array &Object te gebruiken met Mongo DB

  3. Mongoose JS findOne retourneert altijd null

  4. Voorouders in MongoDb ophalen met behulp van de boomstructuur