Являются ли URL-адреса идентификатора OpenID конфиденциальной информацией? Например, безопасно ли хранить URL-адрес OpenID Identity Identity в DB или еще что-то?Являются ли конфиденциальные данные URL-адресов идентификатора OpenID?
Я не могу думать о какой-либо причине, которой вы не должны ... но, черт возьми, я хорош в том, что иногда ошибаюсь!
По-моему, это следует считать секретным. Безопасно хранить в DB как обычный текст, но я бы не стал показывать отображение OpenID людям для просмотра. Есть множество причин, причем некоторые из них:
Не имеет значения, что он остается конфиденциальным, поэтому дополнительные усилия для хэша (и соль/и т. д.), это не обязательно. Это просто создает другое место для поддержания некоторой сложности и области, которая может пойти не так. Тем не менее, если бы я это увидел, я бы не расстроился из-за этого.
Конечно, я считаю неправильным рассматривать OpenID как общедоступный бит информации.
OpenID, в основном, является частью имени пользователя для входа. Вам не нужно обращаться с ней с какой-либо дополнительной безопасностью, если бы вы использовали любой другой UserID.
Проблема в том, что OpenID может использоваться во многих местах. По мере того, как он становится более усыновленным, любой идентификатор будет иметь больший риск, что делает его более ценным. –
... Следует отметить, что имена пользователей по-прежнему чувствительны к _little_, поскольку в нем должно быть указано перечисление имени пользователя, хотя это и не требуется для хэширования и соления. –
@ Рихард - Вот почему я сформулировал свой ответ так, как сделал, вместо того, чтобы говорить «нет, не беспокойся об этом» :) – Donnie