Neuer Thread
Ansicht umschalten Baum an
Avatar von Smiling Man
  • Smiling Man

842 Beiträge seit 06.01.2000

Re: das ist das Problem mit hausgemachten frickellösungen

Ayngush schrieb am 10.01.2017 15:06:

Naja, da haben wir wohl durchaus unterschiedliche Vorstellungen von wirklich sicheren Sicherheitskonzepten ;)

Vielleicht, vielleicht auch nicht ;-)

Meiner Anwendung ist das egal, ob ein Benutzer von außen etwas nur sehr schwer, gar nicht oder sehr leicht enumerieren kann, es wird trotzdem immer, Authentizität, Integrität und die jeweilige Berechtigung geprüft. Daher ist das vollkommen egal, ob man dabei eine fortlaufende Nummer oder einen Hashwert als Parameter verwendet.

Meiner Anwendung ist das nicht so egal. Sie ersetzt die Überprüfungen nicht durch Hashwerte (da sind wir uns durchaus einig, dass das nicht gut wäre), sie nutzt Hashwerte, weil Zahlen doch leicht zum enumerieren verführen. Und das belastet IMHO den Server ggf. mehr als die Verwendung von Hashwerten in einer DB oder Tabelle. Stichwort u.a. Denial-of-Service. Aber ich bin kein "Datenbankspezialist" vielleicht denke ich daher ausserhalb der Datenbank-Anwendung und sehe somit die Performance aus einer erweiterten Perspektive ;-)

PS: REST habe ich deswegen erwähnt, weil gesagt wurde, dass man früher mit URL-Parametern rumhantierte und implizierte, dass man das ja heute nicht mehr macht...

Ja, URL-Parameter ein weiterer Grund, warum ich Hashwerte in URLs vorziehe: man muss nicht (und sollte auch nicht) jeden Parameter ausführlich in den URLs mitschleppen. Darunter leidet die Sicherheit und die Usability (cut/copy/paste elend langer URLs, und (externe) Shortener sind nur ein neues Sicherheitsproblem, nicht die Lösung).

Die Arbeit der Abbildung von Hashwerten auf Daten muss ja garnicht komplett in der "dicken" DB erfolgen, da kann schon der Web-Server hilfreiche Vorarbeiten leisten. Hashwerte sind da, cum grano salis, Dein eigener Shortener. Aber "Suchmaschinen" schreien dann die SEOs auf.

Fazit: ich denke, wir würden uns schon einig, wenn wir nicht hier im begrenzten Forum diskutierten.

Bewerten - +
Anzeige