MongoDB を使用する Web サービスの最初の製品バージョンをデプロイしようとしています。この Web サービスは、攻撃 (ハッカー) を受けやすい可能性があります。私は組み込みの Object-ID を各値の一意の識別子として使用しており、これは公開されています (または少なくとも認証されたユーザーに)。
オブジェクト作成タイムスタンプ、マシンおよびプロセス ID など ( http://docs.mongodb.org/manual/core/object-id/ ) などのデータに基づいて構築されていることを考えると、これは問題になる可能性がありますか? オブジェクトが作成された時期、使用されているマシンの数などについて、あまりにも多くの情報を提供しているのではないでしょうか? あなたの推奨事項は何ですか?
あまり。ネットワークやマシンのグラフを作成したり、隠しオブジェクトを見つけたり、トラフィックやロード時間をグラフにしたりすることはできません (試してみて分かったように)。
たとえば、自動インクリメント ID とは異なり、次の ObjectID の作成に使用されたタイム スタンプ、PID、またはマシン ID を簡単に判断することはできません。これにより、非表示のオブジェクトをクロールするのが非常に難しくなります。特に、どこかに公開リンクを張っていない場合はなおさらです。
PID とマシン ID は、実際にネットワークに関する何かを特定するのにはあまり適していません。プロセスが再起動されたか、サーバーが再起動されたかにかかわらず、PID はほぼいつでも変更できます。または、PHP のような言語を使用している場合は、新しい接続が入るたびに.
マシン ID は、使用しているコンピュータ以外には意味のある結果をもたらさない、もう 1 つの役に立たない情報です。ネットワーク インターフェイス ID (一部のドライバーは使用していた) を使用しているとは思わないため、外部からマシンを識別するために使用することはできません。
要するに、そうではありません。