UUID url-hez

robipecs képe

Sziasztok!

Az lenne a cél, hogy úgy hivatkozzak egy nézetre, hogy szűréssel az adott tartalmat találja meg a link, amit szeretnék. Ez működik is most, egy

ezt használom most,hogy

honlapom.hu/valami?szuro=[NID]

ez teljesen jól működik is, viszont nem szeretném, hogy a NID ismert legyen, ezért valamilyen random megoldás kellene a NID helyére.

Arra gondoltam, hogy az UUID egy részletét használnám ehhez, abból mondjuk 15 karaktert felhasználva.
Ez is működik így.

Kérdésem az lenne, hogy az UUID, vagy annak egy részlete van-e esély rá, hogy ismétlődik, vagy az teljesen kizárható, hogy ha 15 karaktert felhasználok belőle az még egyszer előjöhet újra?

Mivel nem találtam semmi leírást hozzá, hogy miből áll pontosan ezért kérdezem.
Ha van jobb ötletetek, hogy a helyett mi lenne még jobb, biztonságosabb azt is várom.

Melyik modulhoz, modulokhoz kapcsolódik a téma?: 
Drupal verzió: 
nevergone képe

Szia!

Én máshonnan közelítem meg a kérdést: miért probléma, ha ismert a nid?

0
0
robipecs képe

Nekem nem az, csak az informatika szerint kockázatos, mivel személyes adatokat tartalmazó dokumentumok kerülnek feltöltésre ide, több ezer. És állítólag a NID ismeretében hozzá lehet férni ezekhez, ha valaki nagyon akarja. Persze lehet, hogy ez kamu, de nem szeretném hallgatni a "mi megmondtuk" jellegű mondatokat, ha mégis történne valami és rá lehetne húzni, hogy emiatt történt.

0
0
nevergone képe

Szia!

Szerintem ne vidd őket félre és mondd meg nekik, hogy ez hülyeség. Mi van akkor, ha valaki ciklikusan lekéri az oldalakat, pl. node/1, node/2, node/3?

Amit szeretnének, az nem védelem és komoly adatlopás lehet belőle. Ha nem szeretnék, hogy védett tartalmakat elérjenek, akkor valós megoldás kell. Ezzel megvéded őket egy nagy blamázstól, magadat pedig felesleges, értelmetlen munkától és jogi procedúrától.

Nem ismerem a konkrét feladatot, de pl. a Rabbit Hole hasznos lehet.

1
0
Balu Ertl képe

Nekem is ismeretlenül cseng efféle aggály, nem találkoztam még ilyesfajta biztonságkritikus kéréssel ÜF-oldalról. Amennyit az ügyről így megértettem, talán célszerűbb lenne először ezeket az aggályokat átbeszélni, „kimasszírozni”, amire utána lehet bevett, már bizonyított, iparágilag elterjedt biztonsági óvintézkedéseket javasolni. NID-et megpróbálni teljesen elrejteni a kimenetből kissé antipattern barkácsolásnak érzem, a webhely biztonságát valóban növelő lehetőségekhez képest. Csak pár ötlet:

  • Külső bejelentkeztetési szolgáltatók használata
  • TFA implementálása
  • Felhasználók jelszavainak rendszeres változtatásának kikényszerítése
  • Részletes jogosultság-vezérlés
  • Időben korlátozott („lejáró”) hozzáférések
2
0