OpenIDをデータベースに保存しているので、ユーザーにすばやくログインできます。データベースでそれらを暗号化する必要がありますか?
別の質問は、それらは「機密」情報と見なされますか?
1 に答える
9
別の答えとは反対に:いいえ。それをする意味はありません。
アカウントにアクセスするには、最初にOPで認証する必要があります。識別子を知っているだけで(そしてそれだけで)誰かのアカウントに侵入する方法はありません。
OpenIDプロトコルは、設計上、ユーザーが追加のリスクをほとんど伴わずに、非常にわかりやすい場所(ホームページなど)に識別子を配置できるようにします。識別子が「機密」情報であることが意図されている場合、OpenIDを委任することはできません。
データベースが侵害されたという事実が、攻撃者がすべてのIDにアクセスできることを意味する場合、OpenIDは本当に、本当に安全ではありません(そうではありません)。
OpenID識別子は、プロバイダーを指すURLにすぎません。この情報から、ユーザーが誰であるかを推測することはできません(そして、直接IDの場合は、それさえも推測できません)。
「ログインを暗号化する必要がありますか?」と自問することができます。あなたの答えが本当なら-識別子は違いがないので暗号化してください。それが間違っている場合は、気にしないでください。
于 2010-10-29T21:01:09.463 に答える