Un buon modo per creare un token sicuro per gli utenti che hanno effettuato il logout

0

Lavoro per un'azienda che ha un mercato sul web. Vogliamo creare un collegamento con un token che blocca un annuncio sul marketplace senza che l'utente abbia effettuato l'accesso.

Qualcuno ha suggerito di creare un token da questo: base64urlencode (md5 ( "sale-adid"))

  • adid è un'informazione conosciuta dall'utente
  • salt è solo una parola segreta.

Dato che questa soluzione è sicura? L'utente può conoscere l'adid.

Sarà possibile per un utente malintenzionato calcolare l'URL per l'interruzione di un annuncio?

In che modo questo può cambiare per essere più sicuro?

EDIT: Xander ha sottolineato che qualcosa non era chiaro e cercherò di elaborare.

"Non mi è chiaro il motivo per cui hai bisogno di un token. È solo per alcuni utenti che hanno effettuato il logout e non tutti gli utenti che hanno effettuato il logout?"

Non dovrebbe essere possibile per qualsiasi utente interrompere l'annuncio solo per il proprietario. Invieremo l'url al proprietario in modo che lui / lei possa usarlo se vuole interrompere la pubblicità. Quindi è solo per alcuni utenti disconnessi.

    
posta Anders 28.08.2014 - 15:38
fonte

1 risposta

1

Sì, se "sale" è una parola segreta, è possibile che un utente calcoli l'hash eseguendo un semplice attacco di dizionario fino a quando non ottengono l'hash corretto per il loro adid.

Non mi è chiaro perché hai bisogno di un token. Questo è solo per alcuni utenti disconnessi piuttosto che tutti gli utenti che hanno effettuato il logout?

Indipendentemente da ciò, se è necessario fornire all'utente un token che non è possibile duplicare, è necessario disporre di un codice di autenticazione del messaggio. Se non è segreto (cosa che non sembra essere, dal momento che hai detto che l'adid che l'utente già conosce sarà sufficiente), allora usa un algoritmo MAC come HMAC per assicurarti che non possa essere manomesso o alterato.

    
risposta data 28.08.2014 - 15:55
fonte

Leggi altre domande sui tag