tl; dr: ¿Una cadena generada de forma pseudoaleatoria es lo suficientemente indiscutible como para ser utilizada como token en una URL?
Estoy creando una aplicación web, supongamos que es otro PasteBin. Permito que los usuarios peguen texto y genero una URL aleatoria para que puedan pasar a sus amigos, pero de lo contrario seguirán siendo desconocidos para el público.
¿Cómo debo generar esta URL? Será algo así como https://pastebin.example.com/%s
donde %s
es una cadena aleatoria.
¿Qué tan seguro es usar un valor pseudoaleatorio, como el resultado de uniqid
? ¿De qué manera el uso de algo como openssl_random_pseudo_bytes
mejorará el hecho de que no se pueda adivinar? ID es?
Supongamos que los usuarios no podrán enviar muchas pastas por minuto de forma arbitraria, hay algún sistema que limita la velocidad (como un captcha y una verificación de IP). También asuma que he tomado medidas para evitar que los motores de búsqueda indexen la página. El riesgo de compartir información protegida solo por un imperdible La URL está fuera del alcance de esta pregunta.
Para mayor claridad: la cadena aleatoria SOLO se usa como identificador, NO se usa para operaciones criptográficas posteriormente.