Le migliori pratiche per la pubblicazione di dati sensibili?

1

Il nostro fornitore di fatture pubblica le immagini della fattura tramite http e non richiede alcun tipo di autenticazione.

 EX: http://example.com/companyid/image.php?id=Lhjjfkedhf_739567395

L'uso di HTTPS sarebbe un buon inizio, ma che ne è del modo in cui viene generato l'id? Sostengono che è generato casualmente e non segue alcuna sequenza, ma c'è qualche rischio in qualcuno che scrive uno script per provare a eseguire il ping di ID casuali per vedere cosa restituisce una risposta?

La prima directory è una directory aziendale, quindi qualsiasi tentativo di forza bruta consentirebbe comunque all'hacker di filtrare in base all'id dell'azienda.

    
posta iliketolearn 10.03.2016 - 15:23
fonte

1 risposta

1

Dichiarazione di non responsabilità: Senza conoscere le specifiche di come viene generato l'ID, tutto è solo una supposizione.

L'ID, Lhjjfkedhf_739567395 , sembra essere una concatenazione di due componenti, una stringa maiuscola / minuscola di 10 caratteri e un numero di 10 cifre. Supponendo che sia corretto, ci sono 52 10 possibili valori per la stringa e 10 10 possibili valori per la porzione numerica. Mi sembra molto improbabile che questi valori siano indipendenti (anche se con un campione di uno, è difficile sapere). Quindi supponiamo che solo la parte della lettera sia veramente casuale e che la porzione numerica sia un ID interno che usano.

52 10 ha un ordine di grandezza di 10 17 . Dato che è un numero così grande (ci sono circa 10 7 secondi in un anno), significa che la stragrande maggioranza dei valori possibili sarà inutilizzata. In quanto tale, iterando attraverso di essi o indovinando a caso i valori per trovare uno usato, soprattutto perché sembra che sia necessario effettuare una connessione di rete per confermare ogni ipotesi, richiederebbe un tempo eccessivamente lungo.

Questa analisi sarà corretta solo se le ipotesi iniziali che ho fatto sul formato degli ID sono corrette e se usano un generatore di numeri casuali sicuro. Altrimenti la situazione potrebbe essere molto peggiore.

    
risposta data 10.03.2016 - 17:53
fonte

Leggi altre domande sui tag