क्या किसी डेटाबेस के ओपनआईडी दावा_आईडी को डेटाबेस में संग्रहीत करते समय एन्क्रिप्ट किया जाना चाहिए? अगर किसी के पास सादा दृश्य पहुंच है, तो क्या वह उस उपयोगकर्ता के रूप में उत्पन्न हो सकता है?क्या मुझे ओपनिड claim_id एन्क्रिप्टेड स्टोर करना चाहिए?
दावा_आईडी उपयोगकर्ता नाम की तरह है। यह उपयोगकर्ता को उनके प्रदाता के अनुसार पहचानता है।
तो, अगर किसी ने दावा किए गए_आईडी तक पहुंच प्राप्त की है, तो उस उपयोगकर्ता के रूप में तब तक यह संभव नहीं होगा जब तक हमलावर के पास पासवर्ड न हो, या उपयोगकर्ता पहले से ही हमलावर के सिस्टम पर लॉग इन हो गया था (या हमलावर सक्षम था लॉगिन प्रक्रिया को किसी अन्य तरीके से घटाएं)।
तो, आप इसे उपयोगकर्ता नाम की तरह व्यवहार कर सकते हैं; एन्क्रिप्शन की आवश्यकता नहीं है, लेकिन आप बेहतर महसूस कर सकते हैं कि यह सुरक्षा की एक अतिरिक्त परत के रूप में है।
यदि किसी को आपके डेटाबेस तक सीधे पहुंच प्राप्त होती है, तो संभव है कि वे आपकी पूरी साइट को अन्य माध्यमों से समझौता कर सकें।
यदि मेरे पास शाह 66 के साथ किसी भी गुप्त कुंजी के बिना कोई मूल्य है, तो क्या वह मूल्य प्राप्त करने या टकराव उत्पन्न करने में उम्र नहीं लगेगा? यह उचित रूप से सुरक्षित होना चाहिए। – XORcist
@ möter: हम्म, हाँ, मैं हैशिंग के बारे में सोच नहीं रहा था, केवल एन्क्रिप्शन। ये एक अच्छा बिंदु है! यदि हम आपके सर्वर तक पहुंच प्राप्त करते हैं तो हम एन्क्रिप्शन को रिवर्स करने में सक्षम होने वाले हमलावर के बारे में हिस्सा हटा देंगे, हालांकि अगर हमलावर को आपके सर्वर तक पहुंच मिलती है तो आपको शायद बड़ी समस्याएं होंगी ;-) – Cameron
यह निश्चित रूप से कुछ है जो मैं चाहता हूं पहली जगह से बचें: डी – XORcist