Нужно ли зашифровать идентификатор пользователя OpenID, когда он хранится в базе данных? Если бы кто-то имел простой доступ к нему, могли ли они представить себя этим пользователем?Должен ли я хранить заархивированный заархивированный?
7
A
ответ
6
Заявленный_ид очень похож на имя пользователя. Он идентифицирует пользователя в соответствии с их провайдером.
Итак, если кто-то получил доступ к заявленному_идному запросу, это было бы невозможно представить в качестве этого пользователя, если у злоумышленника также не был пароль, или пользователь уже был зарегистрирован в системе злоумышленника (или злоумышленник смог подорвать процесс входа в систему другим способом).
Итак, вы можете рассматривать его как имя пользователя; шифрование не требуется, но вы можете чувствовать себя лучше, зная, что он существует как дополнительный уровень безопасности.
Если кто-то получает прямой доступ к вашей базе данных, скорее всего, они могут скомпрометировать весь ваш сайт с помощью других средств.
Смежные вопросы
- 1. открыть заархивированный файл в Dired
- 2. Чтобы загрузить заархивированный файл с FTP
- 3. Как создать заархивированный артефакт проекта maven javascript
- 4. Как я могу добавить zip-список в уже заархивированный список?
- 5. ENOENT при попытке прочитать заархивированный файл
- 6. Flask и Python возвращают заархивированный список
- 7. Невозможно загрузить заархивированный NSMutableArray в новое NSMutableArray
- 8. parse с php a pdf-файл, заархивированный на диске Google
- 9. Как читать 1TB заархивированный файл за минимальное время
- 10. В Marklogic (5.x), как я могу включить объявление doctype в заархивированный документ?
- 11. Есть ли способ разобрать заархивированный XML-файл с JQuery на лету?
- 12. Должен ли я хранить хеши для паролей?
- 13. jcloud: Должен ли я хранить экземпляры BlobStoreContext?
- 14. Должен ли я хранить метку времени явно?
- 15. Должен ли я хранить почту в db?
- 16. Использование Android Studio Как получить подписанный, не отладочный и заархивированный APK?
- 17. Не удалось извлечь заархивированный файл размером более 4 Гб, используя архив zip. IOS
- 18. как я должен хранить объекты
- 19. можно распаковать файл .apk (или вообще любой заархивированный файл) в память вместо того, чтобы писать его в fs
- 20. Где я должен хранить данные SSIS?
- 21. Должен ли я хранить секретный ключ api geocode?
- 22. Должен ли я хранить теги html в моей базе^
- 23. Должен ли я хранить собственный массив UITableView «isSelected» для мультиселектора?
- 24. Должен ли я хранить растровые изображения в SQLITE DB
- 25. Должен ли я хранить массив или отдельные элементы в Memcache?
- 26. Должен ли я хранить временные файлы в папке __pycache__?
- 27. Должен ли я хранить списки дел в контроле источника?
- 28. Должен ли я хранить ссылочные таблицы vales как перечисление?
- 29. Должен ли я хранить повторяющиеся адреса электронной почты?
- 30. Должен ли я хранить анализируемый текст? Если да, то где?
Если я hash значение с Sha256 без какого-либо секретного ключа, не потребовалось бы времени, чтобы получить это значение или вызвать столкновение? Это должно быть достаточно безопасным. – XORcist
@ möter: Хм, да, я не думал о хэшировании, только шифрование. Неплохо подмечено! Я удалю часть о том, что злоумышленник, возможно, сможет отменить шифрование, если у них есть доступ к вашему серверу, однако у вас, вероятно, все еще будут большие проблемы, если злоумышленник получит доступ к вашему серверу ;-) – Cameron
Это определенно то, что я хочу избегайте в первую очередь: D – XORcist