tl; dr: una stringa generata in modo pseudocasuale non è sufficientemente gestibile da essere utilizzata come token in un URL?
Sto facendo un'applicazione web, per amor di discussione supponiamo che sia un altro PasteBin. Consentono agli utenti di incollare il testo e generare loro un URL casuale che possono passare ai loro amici, ma altrimenti rimarranno sconosciuti al pubblico.
Come dovrei generare questo URL? Sarà qualcosa come https://pastebin.example.com/%s
dove %s
è una stringa casuale.
Quanto è sicuro usare semplicemente un valore pseudo-casuale, come il risultato di uniqid
? In che modo l'utilizzo di qualcosa come openssl_random_pseudo_bytes
migliora il modo in cui L'ID è?
Supponiamo che gli utenti non possano inviare arbitrariamente molte paste al minuto, esiste un sistema di limitazione della velocità (come un captcha e un controllo IP). Supponiamo anche di aver preso misure per impedire ai motori di ricerca di indicizzare la pagina. Il rischio di condividere le informazioni protette solo da un incomprensibile L'URL non rientra nell'ambito di questa domanda.
Per chiarezza: la stringa casuale viene utilizzata SOLO come identificatore, NON viene utilizzata successivamente per le operazioni di crittografia.