| cr4m0 |
Geschrieben am: Fr 29.02.2008, 14:48
|
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 180 Mitglied seit: 30.07.2007 |
Die meisten Leute generieren die IDs für eine Community ja, indem sie im PHPMyAdmin ein Feld "id" anlegen, das ein Primary Key ist und auf "auto_increment" gestellt ist. So bekommt dann jeder User eine ID, die immer um eins höher ist als die vorherige.
Nun habe ich einen Blog-Eintrag gelesen, in dem über ein Sicherheitsloch im studiVZ diskutiert wurde. Dort werden verschlüsselte IDs verwendet, damit man nicht durch Hochzählen alle Profile erreichen kann. Jedoch leiteten diese IDs nur auf die normalen IDs weiter, sodass man die Profile auch noch über die fortlaufende Nummerierung erreichen konnte. Ich habe mir nun gedacht: Wieso nimmt man nicht direkt als ID einen verschlüsselten Wert statt dem "auto_increment"? Das habe ich jetzt auf meiner Seite mal so gemacht. Drei User, die sich direkt nacheinander registriert haben, haben die folgenden IDs bekommen: 262335433, 683335433, 614335433 Haltet ihr so ein System für sicher? Ist es besser als die ID-Vergabe über auto_increment? Danke im Voraus für die Antworten! |
![]() |
| AlessandroCH |
#2 Geschrieben am: Fr 29.02.2008, 14:54 (+00:06)
|
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 114 Mitglied seit: 21.02.2007 |
Also kurzgesagt willst du Zufallszahlen anstelle von vortlaufenden verwenden.
Ausser, dass man so die Userzahl nicht nachvollziehen kann sehe ich da kaum Vorteile. Evtl. wird es schwieriger bzw. dauert viel länger alle Profile automatisch auszulesen. |
![]() |
| jAuer Jürgen Auer - freiberufl. Programmierer |
#3 Geschrieben am: Fr 29.02.2008, 15:01 (+00:06)
|
|
AyomRank 9 Gruppe: Experten Entwicklung Beiträge: 2310 Mitglied seit: 4.02.2006 |
Das ganze geht doch völlig am Problem vorbei.
Wenn ein Nutzer die Berechtigung hat meine-domain.de/profile/uid=580 aufzurufen und die 581 nicht aufzurufen, dann muß der Aufruf der 580 erlaubt und der Aufruf auf die 581 abgefangen werden. Völlig egal, ob die Nummern aufeinander aufsteigend oder zufällig sind. Ein Sicherheitskonzept, das darauf beruht, 'hohe', nicht zu einfach zu erratende Zahlen zu verwenden, ist keines. -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
server-daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung. Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - die Datenbank funktioniert. |
![]() |
| cr4m0 |
#4 Geschrieben am: Fr 29.02.2008, 15:13 (+00:11)
|
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 180 Mitglied seit: 30.07.2007 |
Ob der User das Profil überhaupt ansehen darf, wird natürlich auch geprüft. Aber andere Communitys haben doch nicht umsonst solche Zufalls-IDs...
Schließlich könnte man sonst auch genau erkennen, wer sich als erster registriert hat, wer danach usw. |
![]() |
| TSc |
#5 Geschrieben am: Fr 29.02.2008, 15:17 (+00:04)
|
![]() AyomRank 6 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 669 Mitglied seit: 8.11.2004 |
Und?
Tut bei ICQ auch keinem weh. |
![]() |
| andiR |
#6 Geschrieben am: Fr 29.02.2008, 15:48 (+00:30)
|
||
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 108 Mitglied seit: 18.06.2006 |
Genau meine Meinung |
||
![]() |
| sd12 |
#7 Geschrieben am: Fr 29.02.2008, 16:33 (+00:45)
|
![]() AyomRank 9 Gruppe: Moderatoren Beiträge: 3580 Mitglied seit: 3.03.2004 |
Mach dir mit MD5 ID's
Du musst diese ID's aber "salten" sonst kann man mit einer "Rainbow-Table" leicht die MD5 Hashes "erraten" -------------------- ************************
Treiber f[r das Kezboard ist [berfl[ssig. |
![]() |
| Patrick T. |
#8 Geschrieben am: Fr 29.02.2008, 17:34 (+01:00)
|
||
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 178 Mitglied seit: 20.02.2006 |
Und das wird seit Jahren schon so gehandhabt. In vielen Bereichen / Portalen. Auch hier im Ayom. |
||
![]() |
| jAuer Jürgen Auer - freiberufl. Programmierer |
#9 Geschrieben am: Fr 29.02.2008, 17:41 (+00:07)
|
||
|
AyomRank 9 Gruppe: Experten Entwicklung Beiträge: 2310 Mitglied seit: 4.02.2006 |
Das war aber m.W. nach bei StudiVZ gerade nicht der Fall. Sprich: Eine ID erraten, dann konnte man die entsprechenden Daten sehen. Bei der Telekom gab es auch mal etwas ähnliches. Da konnten angemeldete Nutzer die Daten anderer Nutzer durch die manuelle Änderung der ID sehen. Bei vielen Portalen wird ohnehin das Anmeldedatum ausgegeben (was ja bei Foren auch Sinn macht). Damit ist die hochzählende ID kein Informationsleck. -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
server-daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung. Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - die Datenbank funktioniert. |
||
![]() |
| Mar-T |
#10 Geschrieben am: Fr 29.02.2008, 18:40 (+00:59)
|
||||
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 112 Mitglied seit: 13.12.2005 |
@jAuer:
Das habe ich vor ~ 2 Jahren bei meinem Online-Broker auf der Ausgabeseite zu einer eingegebenen Transaktion ausprobiert - und es hat tatsächlich funktioniert... dh. ich habe fremde Buchungsdaten zusehen bekommen! @sd12:
Dann hast Du statt einem schlanken effizienten Integer-Wert aber einen fetten 32er Char in deinen Tabellen. Als externe ID okay, aber für Verknüpfungen nicht so "schön", oder? |
||||
![]() |
| cr4m0 |
#11 Geschrieben am: Fr 29.02.2008, 20:18 (+01:37)
|
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 180 Mitglied seit: 30.07.2007 |
Damit keine fetten Chars in der Tabelle sind, hab ich es auch so gemacht, dass die IDs alle neunstellig sind. Das kann man dann noch als Integer nehmen.
Wie hoch ist denn eigentlich das Risiko einer Kollision in MD5? Ich dachte eigentlich, dass MD5 jedem Wert genau EINEN Hash zuordnet, der dann auch einzigartig ist. |
![]() |
| sd12 |
#12 Geschrieben am: Fr 29.02.2008, 20:22 (+00:04)
|
![]() AyomRank 9 Gruppe: Moderatoren Beiträge: 3580 Mitglied seit: 3.03.2004 |
MD5 kann 64^30 verschiedene Kombinationen...
Und das ist verdammt viel. Trotzdem kann es zu kollisionen führen... -------------------- ************************
Treiber f[r das Kezboard ist [berfl[ssig. |
![]() |
| faris |
#13 Geschrieben am: Fr 29.02.2008, 21:52 (+01:29)
|
||
|
AyomRank 4 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Member (aktiv) Beiträge: 154 Mitglied seit: 16.02.2006 |
Dann wäre MD5 ein ziemlich geiles (wenn auch nicht sehr performantes...) Kompressionsverfahren, das Dateien beliebiger Größe auf 16 Byte komprimieren kann |
||
![]() |
Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)
0 Mitglieder:
« MySQL-Server Umstellung von UTF-8 auf Latin1 | Server-Technik, Domains & Security | DomainFactory... support? »
Trackback-Url: http://www.ayom.com/track/t/23203
![]() |
![]() ![]() ![]() |
| Themen Titel | Autor | Views | Antworten | Letzte Aktion |
| Mehr User in meinem Forum! WIE? | Loney | 330 | 12 | Sa 27.09.2008, 12:03 |
| Wie startet man ein User-Generated Projekt? | MikeD | 181 | 3 | Fr 19.09.2008, 15:15 |
| Plesk, ftp User für bestehende Domain anlegen | Alain Aubert | 325 | 10 | Mo 8.09.2008, 13:15 |
| Neue User Pms und Emails | Alain Aubert | 17297 | 379 | Mo 18.08.2008, 08:11 |
| Mehr User für mein Forum? | the_freaktaker | 307 | 7 | Mo 4.08.2008, 18:04 |
| Schrift mit bestimmter farbe generieren | Klegs | 124 | 1 | So 27.07.2008, 21:15 |
| Suche - Foren-User mit über 200 Posts | gery | 202 | 1 | Di 1.07.2008, 21:32 |
| User passen Schriftgrösse selbst sein | user_001 | 213 | 4 | Do 26.06.2008, 16:56 |
| Eigenverantwortung der User | Nico B | 173 | 3 | Sa 17.05.2008, 10:59 |
Anzeige - [Interessiert an einer Anzeige?]


















