-3

私の Web ページでは、パスワードの代わりに (HTTPS) リンクを使用してページを変更しています。リンクでは、2 つの MD5 ハッシュを相互に使用しています。MD5 のベースはランダムです (広告の ID とその他の情報を推測しないもの)。もちろん、リンク付きのメールを持っている人以外がページを変更することは望ましくありません。このソリューションは実際にどのくらい安全ですか? 他にどのようなオプションがありますか。パスワードを使用したくありません ….

リンクの例:

https://www.huurhulp.nl/wijzigen/wijzigen.php?wijzigen_adv=14&code=523a98367bfb05765fb86a2535966aad

リンク付きのメールが転送されない場合、リンクが誰かの手に渡る可能性はありますか? 盗聴は可能ですか?

4

1 に答える 1

2

あなたが説明したことから、これらのリンクの1つを取り消す方法はありません(実際にはベアラートークンです)。

そのうちの 1 つが漏洩したことがわかっていて、そのリンクを介したアクセスをブロックする (そして新しいリンクを発行する) 必要がある場合、これは問題になる可能性があります。

理想的には、データベースに保存するすべてのページに完全にランダムなトークンを使用します。

セキュリティを強化するその他のオプションは、時間経過後の有効期限と使用後の有効期限です (フローがメールベースの場合は、そのときに新しいトークンを送信できます)。

Flickr がゲスト パスを実装する方法が良い例だと思います。ゲスト パスはいくつでも作成でき、個別に取り消すことができます。

于 2012-08-27T07:42:55.157 に答える