Un utente è in grado di visualizzare il proprio UID come un rischio per la sicurezza?

6

Lavorando su un'app Web con un sistema di autenticazione token, mi chiedo se concedere a un utente l'accesso per visualizzare il proprio ID utente, un rischio per la sicurezza? Non sarà visibile facilmente, dovranno prima fare alcuni cookie.

Non solo alla ricerca di risposte specifiche per questa implementazione, sono anche curioso di questo in generale.

Per il mio caso specifico, utilizzerò i token Web JSON, il che significa che l'UID è in grado di visualizzare dal client, ma a causa della natura di JWT, il token non è valido nel caso in cui il carico utile venga modificato.

In questo contesto, non è utile indovinare l'UID di un altro utente conoscendo il formato dell'UID, poiché solo l'uid + la firma costituisce un token valido e quindi una richiesta valida.

    
posta Alex Redwood 06.12.2017 - 07:10
fonte

2 risposte

1

Nel tuo caso specifico non sembra. Tuttavia, nel senso generale, dipende da come vengono utilizzati i tuoi UID. Se i tuoi UID sono utilizzati in qualsiasi parte del tuo sistema come informazioni attendibili e l'utente può dedurre altri UID da soli, hai un problema. Ad esempio, la società britannica Moonpig ha fatto la notizia qualche anno fa quando è stato stabilito che i suoi ID utente erano consecutivi e che l'ID di un utente era informazioni sufficienti per richiedere informazioni private di un utente tra cui nomi, compleanni, indirizzi, ultimi quattro di credito le date di scadenza delle carte e delle carte di credito.

Se i tuoi UID sono sufficientemente casuali, allora la loro dispersione non diminuisce la sicurezza perché non forniscono ulteriori informazioni sugli altri account a un utente malintenzionato. Avrebbero comunque bisogno di enumerare manualmente il possibile spazio UID per trovare quelli validi. Tuttavia, l'enumerazione degli UID non è particolarmente difficile e le transazioni così sensibili dovrebbero sempre essere protette da almeno un'altra informazione privata. Nel tuo caso questa seconda informazione è il token che firma la richiesta.

    
risposta data 06.01.2018 - 18:54
fonte
0

Se l'uid non fornisce l'accesso a nulla in sé e per sé, allora non ha alcuna importanza. Finché stai solo recuperando l'uid dal jwt sul back-end, va bene. Basta non inviarlo in una richiesta di post o parametro di query e avere il tuo server fidati e andrà bene.

    
risposta data 07.12.2017 - 05:21
fonte

Leggi altre domande sui tag