एक्सपोजिंग डेटाबेस आईडी - सुरक्षा जोखिम?

मैंने सुना है कि डेटाबेस आईडी (उदाहरण के लिए URL) को उजागर करना एक सुरक्षा जोखिम है, लेकिन मुझे यह समझने में परेशानी हो रही है कि क्यों।

किसी भी राय या लिंक पर यह जोखिम क्यों है, या यह क्यों नहीं है?

संपादित करें: यदि आप संसाधन नहीं देख पा रहे हैं, तो निश्चित रूप से पहुँच को बंद foo?id=123कर दिया गया है, आपको एक त्रुटि पृष्ठ मिलेगा। अन्यथा URL स्वयं गुप्त होना चाहिए।

EDIT: यदि URL गुप्त है, तो इसमें संभवतः एक उत्पन्न टोकन होगा, जिसका जीवनकाल सीमित है, उदाहरण के लिए 1 घंटे के लिए मान्य है और केवल एक बार उपयोग किया जा सकता है।

EDIT (महीने बाद): इसके लिए मेरा वर्तमान पसंदीदा अभ्यास आईडी के लिए UUIDS का उपयोग करना और उन्हें उजागर करना है। अगर मैं अनुक्रमिक संख्याओं (आमतौर पर कुछ DBs पर प्रदर्शन के लिए) का उपयोग कर रहा हूं, तो आईडी के रूप में मैं एक वैकल्पिक कुंजी के रूप में प्रत्येक प्रविष्टि के लिए एक UUID टोकन बनाना पसंद करता हूं, और उस का पर्दाफाश करता हूं।

उचित परिस्थितियों को देखते हुए, पहचानकर्ताओं को उजागर करना सुरक्षा जोखिम नहीं है। और, व्यवहार में, पहचानकर्ताओं को उजागर किए बिना एक वेब एप्लिकेशन को डिजाइन करना बेहद बोझिल होगा।

यहां कुछ अच्छे नियम दिए गए हैं:

1. किसी ऑपरेशन तक पहुँच को नियंत्रित करने के लिए भूमिका-आधारित सुरक्षा का उपयोग करें। यह कैसे किया जाता है यह आपके द्वारा चुने गए प्लेटफ़ॉर्म और फ्रेमवर्क पर निर्भर करता है, लेकिन कई एक घोषणात्मक सुरक्षा मॉडल का समर्थन करते हैं जो स्वचालित रूप से एक प्रमाणीकरण कदम के लिए ब्राउज़रों को पुनर्निर्देशित करेगा जब किसी कार्रवाई के लिए कुछ प्राधिकरण की आवश्यकता होती है।
2. किसी वस्तु तक पहुंच को नियंत्रित करने के लिए प्रोग्रामेटिक सुरक्षा का उपयोग करें। यह एक फ्रेमवर्क स्तर पर करना कठिन है। अधिक बार, यह कुछ ऐसा है जिसे आपको अपने कोड में लिखना है और इसलिए अधिक त्रुटि प्रवण है। यह जाँच भूमिका-आधारित जाँच से परे जाकर न केवल यह सुनिश्चित करती है कि उपयोगकर्ता के पास संचालन के लिए अधिकार है, बल्कि संशोधित किए जा रहे विशिष्ट वस्तु पर आवश्यक अधिकार भी हैं। भूमिका-आधारित प्रणाली में, यह जांचना आसान है कि केवल प्रबंधक ही उठा सकते हैं, लेकिन इससे परे, आपको यह सुनिश्चित करने की आवश्यकता है कि कर्मचारी विशेष प्रबंधक के विभाग से संबंधित है।
3. अधिकांश डेटाबेस रिकॉर्ड के लिए, स्थिति 1 और 2 पर्याप्त हैं। लेकिन अप्रत्याशित आईडी को जोड़ने पर थोड़ा अतिरिक्त बीमा, या "गहराई से सुरक्षा" के रूप में सोचा जा सकता है, यदि आप उस प्याज में खरीदते हैं। एक जगह जहां अप्रत्याशित पहचानकर्ता एक आवश्यकता है, हालांकि, सत्र आईडी या अन्य प्रमाणीकरण टोकन में है, जहां आईडी स्वयं एक अनुरोध को प्रमाणित करता है। इन्हें क्रिप्टोग्राफिक RNG द्वारा जनरेट किया जाना चाहिए।

जबकि डेटा सुरक्षा जोखिम नहीं है, यह बिल्कुल व्यावसायिक खुफिया सुरक्षा जोखिम है क्योंकि यह डेटा आकार और वेग दोनों को उजागर करता है। मैंने देखा है कि व्यवसायों को इससे नुकसान पहुंचा है और इस विरोधी पैटर्न के बारे में गहराई से लिखा है। जब तक आप सिर्फ एक प्रयोग कर रहे हैं और एक व्यवसाय नहीं है, मैं आपके निजी आईडी को सार्वजनिक नज़र से बाहर रखने का सुझाव दूंगा। https://medium.com/lightrail/prevent-business-intelligence-leaks-by-using-uuids-instead-of-database-ids-on-urls-and-in-apis-17f15669fd2e

यह इस बात पर निर्भर करता है कि आईडी किस लिए खड़ी हैं।

उस साइट पर विचार करें, जो प्रतिस्पर्धी कारणों से सार्वजनिक नहीं करना चाहती कि उनके पास कितने सदस्य हैं, लेकिन अनुक्रमिक आईडी का उपयोग करके इसे URL में वैसे भी प्रकट किया जाता है: http://some.domain.name/user?id=3933

दूसरी ओर, अगर वे इसके बजाय उपयोगकर्ता के लॉगिन नाम का उपयोग करते हैं: http://some.domain.name/user?id=some उन्होंने ऐसा कुछ भी नहीं बताया है जिसे उपयोगकर्ता पहले से ही नहीं जानता था।

सामान्य विचार इन पंक्तियों के साथ जाता है: "अपने ऐप के आंतरिक कामकाज के बारे में किसी को भी कम जानकारी दें।"

कुछ जानकारी का खुलासा करने के रूप में डेटाबेस आईडी को उजागर करना मायने रखता है।

इसका कारण यह है कि हैकर्स आप पर हमला करने के लिए आपके ऐप्स के आंतरिक कामकाज के बारे में किसी भी जानकारी का उपयोग कर सकते हैं, या कोई उपयोगकर्ता URL को डेटाबेस में बदलने के लिए बदल सकता है / वह देखने के लिए नहीं है?

हम डेटाबेस आईडी के लिए GUIDs का उपयोग करते हैं। उन्हें लीक करना बहुत कम खतरनाक है।

यदि आप अपने db में पूर्णांक आईडी का उपयोग कर रहे हैं, तो आप उपयोगकर्ताओं के लिए यह देखना आसान बना सकते हैं कि वे qs चर बदलकर डेटा न देखें।

उदाहरण के लिए, एक उपयोगकर्ता इस qs में आसानी से आईडी पैरामीटर बदल सकता है और डेटा को देख सकता है / संशोधित कर सकता है जो उन्हें http: // someurl? Id = नहीं करना चाहिए।

जब आप डेटाबेस आईडी अपने ग्राहक को भेजते हैं तो आपको दोनों मामलों में सुरक्षा जांचने के लिए मजबूर किया जाता है। यदि आप अपने वेब सत्र में आईडी रखते हैं तो आप चुन सकते हैं कि आप इसे करना चाहते हैं / करने की आवश्यकता है, जिसका अर्थ है संभावित रूप से कम प्रसंस्करण।

आप अपने अभिगम नियंत्रण के लिए चीजों को लगातार सौंपने की कोशिश कर रहे हैं;) आपके आवेदन में ऐसा ही हो सकता है लेकिन मैंने अपने पूरे करियर में इस तरह के सुसंगत बैक-एंड सिस्टम को कभी नहीं देखा है। उनमें से अधिकांश के पास सुरक्षा मॉडल हैं जो गैर-वेब उपयोग के लिए डिज़ाइन किए गए थे और कुछ की अतिरिक्त भूमिकाएँ मरणोपरांत जोड़ी गई थीं, और इनमें से कुछ को मुख्य सुरक्षा मॉडल के बाहर बोल्ट किया गया है (क्योंकि भूमिका एक अलग परिचालन संदर्भ में जोड़ी गई थी, कहते हैं वेब से पहले)।

इसलिए हम सिंथेटिक सत्र लोकल आईडी का उपयोग करते हैं क्योंकि यह उतना ही छुपाता है जितना हम दूर हो सकते हैं।

गैर-पूर्णांक कुंजी फ़ील्ड का मुद्दा भी है, जो प्रगणित मान और समान के लिए मामला हो सकता है। आप उस डेटा को सैनिटाइज़ करने की कोशिश कर सकते हैं, लेकिन संभावना है कि आप छोटी बॉबी ड्रॉप टेबल की तरह समाप्त हो जाएंगे ।