Нужно ли зашифровать идентификатор пользователя OpenID, когда он хранится в базе данных? Если бы кто-то имел простой доступ к нему, могли ли они представить себя этим пользователем?Должен ли я хранить заархивированный заархивированный?
Заявленный_ид очень похож на имя пользователя. Он идентифицирует пользователя в соответствии с их провайдером.
Итак, если кто-то получил доступ к заявленному_идному запросу, это было бы невозможно представить в качестве этого пользователя, если у злоумышленника также не был пароль, или пользователь уже был зарегистрирован в системе злоумышленника (или злоумышленник смог подорвать процесс входа в систему другим способом).
Итак, вы можете рассматривать его как имя пользователя; шифрование не требуется, но вы можете чувствовать себя лучше, зная, что он существует как дополнительный уровень безопасности.
Если кто-то получает прямой доступ к вашей базе данных, скорее всего, они могут скомпрометировать весь ваш сайт с помощью других средств.
Если я hash значение с Sha256 без какого-либо секретного ключа, не потребовалось бы времени, чтобы получить это значение или вызвать столкновение? Это должно быть достаточно безопасным. – XORcist
@ möter: Хм, да, я не думал о хэшировании, только шифрование. Неплохо подмечено! Я удалю часть о том, что злоумышленник, возможно, сможет отменить шифрование, если у них есть доступ к вашему серверу, однако у вас, вероятно, все еще будут большие проблемы, если злоумышленник получит доступ к вашему серверу ;-) – Cameron
Это определенно то, что я хочу избегайте в первую очередь: D – XORcist