【发布时间】:2011-03-13 02:57:10
【问题描述】:
OpenID 身份 URL 是否被视为敏感信息?例如,将纯文本 OpenID 身份 URL 存储在数据库中是否安全?
我想不出任何你不应该这样做的理由……但该死的,我有时擅长犯错!
【问题讨论】:
【发布时间】:2011-03-13 02:57:10
【问题描述】:
在我看来,它应该被视为秘密。以纯文本形式存储在 DB 中是安全的,但我不会到处显示人们的 OpenID 供任何人查看。原因有很多,其中一些是:
- 没必要
- 它(加上密码)是很多门的钥匙;因此对于攻击者来说,它看起来非常多汁
- 在个别网站上,您可以自定义您的身份;如果 OpenID 在每个站点上都是公开的,则有可能收集有关试图在各个站点上保持独立性的人的信息
它保持私有并不重要,但是,额外的哈希(和盐/等)工作并不是真正必要的。它只是创建了另一个地方来保持一些复杂性,以及一个可能出错的区域。也就是说,如果我看到它完成了,我真的不会为此感到沮丧。
当然,我认为将 OpenID 视为公共信息是错误的。
【讨论】:
OpenID 基本上是登录的用户名部分。您无需像对待任何其他 UserID 一样对其进行更安全的处理。
【讨论】:
-
问题是OpenID可以在很多地方使用。随着它被更多采用,任何给定的 ID 都将承担更多风险,使其更有价值。
-
... 应该注意的是,用户名仍然有点敏感,因为它必须关注用户名枚举,尽管还没有到需要散列的地步和盐渍。
-
@Richard - 这就是为什么我用我的方式来表达我的答案,而不是说“不,别担心”:)