Identitätsspalten und Sicherheit in einer RESTful Web-Anwendung

Question

Frage

Identität autoinkrementierten Sollen Spalten haben einen Nicht-Standard-Samen/Schritt, wenn sie in einer RESTful Web-Anwendung verwendet?

Hintergrund

ich auf meiner ersten ASP.NET MVC-Anwendung ich arbeite und versuche, meinen Urls RESTful zu halten. Es gibt keine separate administrative Website für die Anwendung. Ich verwende Attribute, um zu steuern, wer auf welche Teile der Site zugreifen kann und welche Menüelemente für den aktuellen Benutzer basierend auf ihren Rollen im System sichtbar sind. Ich folge (meistens) dem ActiveRecord-DB-Muster und verwende synthetische IDs für meine Tabellen, einschließlich der Benutzertabelle, wobei die IDs automatisch generierte Identitätsspalten sind.

Es ist mir heute Morgen in den Sinn gekommen, dass es ein subtiles Sicherheitsrisiko für die Verwendung von Standard-Seeds für Identitätsspalten in einer RESTful-Anwendung gibt. Wenn Sie annehmen, dass administrative IDs, insbesondere die leistungsstärksten, idR zuerst in einer Anwendung erstellt werden, folgt daraus, dass sie die niedrigst nummerierten IDs im System sind. Wenn Sie nicht wirklich ein Loch in der Anwendung öffnen, kann die Verwendung von Standardwerten für den Seed/Increment es einem Cracker leichter machen, ein höherwertiges Ziel anzugreifen, indem einfach niedrig nummerierte IDs mit RESTful-Aktionen (wie ChangePassword - einer von die vordefinierten Aktionen in der ASP.NET MVC-Site-Vorlage).

Sollte ich meiner Benutzer-Tabelle zu meinem Arsenal von Best Practices für die Sicherheit hinzufügen, einen nicht standardmäßigen Seed zu setzen, zumindest? Ist der Effekt, dies zu tun, wert? Oder bin ich zu paranoid? Als eine verwandte Frage sollte ich die vordefinierten Vorlagennamen für kontobezogene Aktionen ändern.

Answer 1

Ich habe vorläufig entschieden, dass ich das Risiko angehen werde, indem ich die Standardwerte für Autoinkrement-Spalten ändere. Das ist nicht schwer und wird das Zeichen der Anwendung oder des ActiveRecord-Musters nicht ändern. Da diese Spalten auch für Fremdschlüsselbeziehungen verwendet werden, möchte ich sie als ganze Zahlen beibehalten, um die Indizes effizienter zu machen.

Ich plane nicht die Standardaktionen zu ändern, es sei denn, ein anderes Verb macht mehr Sinn. Die intuitive Benutzeroberfläche ist wichtiger als die Aktion hinter einem obskuren Namen zu verbergen.

Answer 2

Mein Rat ist GUIDs anstelle von Autoinkrementing IDs zu verwenden. Das wird das "Ratespiel" ganz los.

Answer 3

Ich war sehr skeptisch, Guid zu verwenden; Lucerno weist jedoch darauf hin, dass es hilft, das Ratespiel zu minimieren, je nachdem, wie die GUID generiert und verwendet wird. Guids, die sequenziell von SQL Server generiert werden, würden das Ratespiel nicht verhindern.

Guids sind auch sehr praktisch, wenn Sie ein Domain-Modell haben und ein ORM wie nHibernate oder sogar Ihre eigenen verwenden. Es vereinfacht die Komplexität des Einfügens der Rückwärtsreferenzen erheblich, da alle Objekte ihre IDs schon früh erhalten können.

Mit dem gesagt, wenn Ihre IDs in der URL enthalten sind, sollten sie als sehr öffentliche Daten behandelt werden. Sogar über HTTPS könnte ein hinterhältiger Angriff die ganze URL bekommen. Wenn Ihre Seite Content von Drittanbietern, wie z. B. Google Analytics, anfordert, wird die URL-Abfragezeichenfolge und alle an die Drittpartei als Referrer gesendet.

Answer 4

Den angemeldeten Benutzer in der Sitzung auf der Serverseite behalten, anstatt ihn an den Client zu übergeben - auf diese Weise kann der Client die Benutzer-ID in einer bösartigen Abfrage niemals ändern.