Un numero casuale dopo il nome di accesso nella sezione dei membri pubblici di un sito Web aumenta la sicurezza o la privacy?

Naviga le tue risposte
1

link

vs

link

dove username è specifico per ogni utente, come è il suo sale.

La mia ipotesi è che rende più difficile per gli spammer raccogliere informazioni su qualcuno non dando una risposta diretta alla domanda: conosci l'accesso utente $?

Se avessi 20 milioni di indirizzi e-mail che volevo spam, proverei certamente a stabilire un profilo per ciascun utente, ad esempio cercando di trovare i suoi interessi. Con un elenco di forum, vorrei solo recuperare e analizzare una pagina su ogni sezione dei membri del forum, ma con il sale nell'URL, dovrei fare una copia completa e aggiornarlo regolarmente. Allora, cosa ne pensi ? È fatto per aumentare il costo della raccolta dei dati o è qualcos'altro?

    
posta alecail 22.01.2015 - 22:09
fonte

2 risposte

3

Se ti stai chiedendo perché questo viene fatto nella pratica, generalmente (per quanto ne so) non ha assolutamente nulla a che fare con la sicurezza delle informazioni. Conosco il software del forum, il nome utente è in realtà completamente superfluo dal punto di vista del server; il numero è il numero dell'ID membro e viene visualizzato tutto il server. Il nome utente è proprio lì in modo che l'URL sia più descrittivo; è strettamente facoltativo e può essere quello che vuoi, ma per impostazione predefinita rende più chiaro a cosa punta l'URL. Puoi vedere un esempio su Stack Exchange: il tuo profilo utente è link ma link o link ti porta esattamente nella stessa pagina.

Domande correlate su SO: link

    
risposta data 23.01.2015 - 01:18
fonte
0

C'è è un merito di sicurezza per avere entropia nei nomi degli utenti, anche se come la risposta di cpast fa notare, di solito non è un motivo principale.

Diciamo che Bob ha lo username bobertack su forum.example.com e che un utente malintenzionato conosce il suo nome utente e la sua password. Questo è male, ma almeno è solo un forum. Tuttavia, l'autore dell'attacco potrebbe eseguire un attacco di riutilizzo della password , ad es. provando la stessa password per bobertack su blog.example.net; se Bob è come molte altre persone là fuori, c'è un'alta probabilità che usi la stessa password per entrambi.

Con un nome utente diverso, Bob sarebbe stato meno vulnerabile a questo tipo di attacco. È per questo motivo che alcune persone (me compreso) considerano i loro nomi utente di conti bancari essenzialmente come password.

Un esempio di attacco di riutilizzo della password:

La domanda stessa presuppone un attacco di riutilizzo della password quasi inverso, in cui uno spammer può trovare le connessioni tra gli account di una persona e usarlo per indirizzare meglio la persona. Gli inserzionisti (sia buoni che cattivo ) lo fanno ogni giorno; questo è chiamato pubblicità mirata e le sue ramificazioni sono di per sé piuttosto interessanti.

Per saperne di più su come la privacy è connessa alla sicurezza, guarda Mikko Hypponen (Chief Research Officer di Sophos) dare una presentazione sulla privacy e sicurezza in cui annota che i migliori scienziati del mondo si stanno concentrando sulla pubblicazione di annunci mirati piuttosto che sulla risoluzione dei problemi del mondo.

    
risposta data 31.05.2015 - 00:30
fonte

Leggi altre domande sui tag

Overflow di un cookie restituisce la pagina di errore in PHP HTTP BA da un server diverso [duplicato]