Diskussion
Generieren von User-IDs
... in einem Social Network
| cr4m0 |
Geschrieben am: Fr 29.02.2008, 14:48
|
|
AyomRank 5 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 217 Mitglied seit: 30.07.2007 |
Die meisten Leute generieren die IDs für eine Community ja, indem sie im PHPMyAdmin ein Feld "id" anlegen, das ein Primary Key ist und auf "auto_increment" gestellt ist. So bekommt dann jeder User eine ID, die immer um eins höher ist als die vorherige.
Nun habe ich einen Blog-Eintrag gelesen, in dem über ein Sicherheitsloch im studiVZ diskutiert wurde. Dort werden verschlüsselte IDs verwendet, damit man nicht durch Hochzählen alle Profile erreichen kann. Jedoch leiteten diese IDs nur auf die normalen IDs weiter, sodass man die Profile auch noch über die fortlaufende Nummerierung erreichen konnte. Ich habe mir nun gedacht: Wieso nimmt man nicht direkt als ID einen verschlüsselten Wert statt dem "auto_increment"? Das habe ich jetzt auf meiner Seite mal so gemacht. Drei User, die sich direkt nacheinander registriert haben, haben die folgenden IDs bekommen: 262335433, 683335433, 614335433 Haltet ihr so ein System für sicher? Ist es besser als die ID-Vergabe über auto_increment? Danke im Voraus für die Antworten! |
![]() |
| AlessandroCH |
#2 Geschrieben am: Fr 29.02.2008, 14:54 (+00:06)
|
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 134 Mitglied seit: 21.02.2007 |
Also kurzgesagt willst du Zufallszahlen anstelle von vortlaufenden verwenden.
Ausser, dass man so die Userzahl nicht nachvollziehen kann sehe ich da kaum Vorteile. Evtl. wird es schwieriger bzw. dauert viel länger alle Profile automatisch auszulesen. |
![]() |
| Jürgen Auer Server-Daten - Online-CRM-Lösungen |
#3 Geschrieben am: Fr 29.02.2008, 15:01 (+00:06)
|
|
AyomRank 9 Gruppe: Experten Entwicklung Beiträge: 3274 Mitglied seit: 4.02.2006 |
Das ganze geht doch völlig am Problem vorbei.
Wenn ein Nutzer die Berechtigung hat meine-domain.de/profile/uid=580 aufzurufen und die 581 nicht aufzurufen, dann muß der Aufruf der 580 erlaubt und der Aufruf auf die 581 abgefangen werden. Völlig egal, ob die Nummern aufeinander aufsteigend oder zufällig sind. Ein Sicherheitskonzept, das darauf beruht, 'hohe', nicht zu einfach zu erratende Zahlen zu verwenden, ist keines. -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
Server-Daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung. Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - Ihre Datenbank funktioniert. |
![]() |
| cr4m0 |
#4 Geschrieben am: Fr 29.02.2008, 15:13 (+00:11)
|
|
AyomRank 5 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 217 Mitglied seit: 30.07.2007 |
Ob der User das Profil überhaupt ansehen darf, wird natürlich auch geprüft. Aber andere Communitys haben doch nicht umsonst solche Zufalls-IDs...
Schließlich könnte man sonst auch genau erkennen, wer sich als erster registriert hat, wer danach usw. |
![]() |
| TSc |
#5 Geschrieben am: Fr 29.02.2008, 15:17 (+00:04)
|
![]() AyomRank 7 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 1121 Mitglied seit: 8.11.2004 |
Und?
Tut bei ICQ auch keinem weh. -------------------- ---~~~ Meine zwei güldenen Regeln zu nachhaltigem SEO ~~~---
1. Google mag was der User mag. 2. Content ist King! Ferienhaus in der Eifel |
![]() |
|
#6 Geschrieben am: Fr 29.02.2008, 15:48 (+00:30)
|
|||
|
AyomRank 1 ![]() ![]() Gruppe: Member (inaktiv) Beiträge: 0 Mitglied seit: -- |
Genau meine Meinung |
||
![]() |
| sd12 |
#7 Geschrieben am: Fr 29.02.2008, 16:33 (+00:45)
|
![]() AyomRank 9 Gruppe: Moderatoren Beiträge: 3581 Mitglied seit: 3.03.2004 |
Mach dir mit MD5 ID's
Du musst diese ID's aber "salten" sonst kann man mit einer "Rainbow-Table" leicht die MD5 Hashes "erraten" -------------------- ************************
Treiber f[r das Kezboard ist [berfl[ssig. |
![]() |
| Patrick T. |
#8 Geschrieben am: Fr 29.02.2008, 17:34 (+01:00)
|
||
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 181 Mitglied seit: 20.02.2006 |
Und das wird seit Jahren schon so gehandhabt. In vielen Bereichen / Portalen. Auch hier im Ayom. |
||
![]() |
| Jürgen Auer Server-Daten - Online-CRM-Lösungen |
#9 Geschrieben am: Fr 29.02.2008, 17:41 (+00:07)
|
||
|
AyomRank 9 Gruppe: Experten Entwicklung Beiträge: 3274 Mitglied seit: 4.02.2006 |
Das war aber m.W. nach bei StudiVZ gerade nicht der Fall. Sprich: Eine ID erraten, dann konnte man die entsprechenden Daten sehen. Bei der Telekom gab es auch mal etwas ähnliches. Da konnten angemeldete Nutzer die Daten anderer Nutzer durch die manuelle Änderung der ID sehen. Bei vielen Portalen wird ohnehin das Anmeldedatum ausgegeben (was ja bei Foren auch Sinn macht). Damit ist die hochzählende ID kein Informationsleck. -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
Server-Daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung. Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - Ihre Datenbank funktioniert. |
||
![]() |
| Mar-T |
#10 Geschrieben am: Fr 29.02.2008, 18:40 (+00:59)
|
||||
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 112 Mitglied seit: 13.12.2005 |
@jAuer:
Das habe ich vor ~ 2 Jahren bei meinem Online-Broker auf der Ausgabeseite zu einer eingegebenen Transaktion ausprobiert - und es hat tatsächlich funktioniert... dh. ich habe fremde Buchungsdaten zusehen bekommen! @sd12:
Dann hast Du statt einem schlanken effizienten Integer-Wert aber einen fetten 32er Char in deinen Tabellen. Als externe ID okay, aber für Verknüpfungen nicht so "schön", oder? |
||||
![]() |
| cr4m0 |
#11 Geschrieben am: Fr 29.02.2008, 20:18 (+01:37)
|
|
AyomRank 5 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 217 Mitglied seit: 30.07.2007 |
Damit keine fetten Chars in der Tabelle sind, hab ich es auch so gemacht, dass die IDs alle neunstellig sind. Das kann man dann noch als Integer nehmen.
Wie hoch ist denn eigentlich das Risiko einer Kollision in MD5? Ich dachte eigentlich, dass MD5 jedem Wert genau EINEN Hash zuordnet, der dann auch einzigartig ist. |
![]() |
| sd12 |
#12 Geschrieben am: Fr 29.02.2008, 20:22 (+00:04)
|
![]() AyomRank 9 Gruppe: Moderatoren Beiträge: 3581 Mitglied seit: 3.03.2004 |
MD5 kann 64^30 verschiedene Kombinationen...
Und das ist verdammt viel. Trotzdem kann es zu kollisionen führen... -------------------- ************************
Treiber f[r das Kezboard ist [berfl[ssig. |
![]() |
| faris |
#13 Geschrieben am: Fr 29.02.2008, 21:52 (+01:29)
|
||
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 165 Mitglied seit: 16.02.2006 |
Dann wäre MD5 ein ziemlich geiles (wenn auch nicht sehr performantes...) Kompressionsverfahren, das Dateien beliebiger Größe auf 16 Byte komprimieren kann |
||
![]() |
Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)
0 Mitglieder:
« MySQL-Server Umstellung von UTF-8 auf Latin1 | Server-Technik, Domains & Security | DomainFactory... support? »
Trackback-Url: http://www.ayom.com/track/t/23203
![]() |
![]() ![]() ![]() |
| Themen Titel | Autor | Views | Antworten | Letzte Aktion |
| Neue User Pms und Emails | Alain Aubert | 55937 | 519 | Mo 8.03.2010, 14:45 |
| Eigene Seiten für User | PH | 200 | 6 | Mo 4.01.2010, 14:51 |
| Eingabeformular für MYSQL Tabellen generieren | Sancheck | 255 | 7 | Mo 16.11.2009, 13:55 |
| 30-40k Unique User, Partneranfrage | The Crow | 288 | 1 | Di 3.11.2009, 00:17 |
| [Problem] übereifriger User | Basti24 | 319 | 7 | Do 29.10.2009, 12:34 |
| Plesk, ftp User für bestehende Domain anlegen | Alain Aubert | 5751 | 27 | Di 27.10.2009, 13:41 |
| User Authentifizieren | Sancheck | 216 | 7 | Mi 14.10.2009, 10:13 |
| User endgültig aus Forum verbannen | Ronald Nickel | 234 | 4 | Mi 7.10.2009, 18:47 |
| Proxy user Aussperren | PH | 187 | 0 | Fr 25.09.2009, 10:41 |
| Schweizer OXID User Group Treffen | Webi | 119 | 0 | Do 10.09.2009, 14:50 |
Anzeige - [Hier werben / Mediadaten]


















