¿Es un usuario poder ver su propio UID un riesgo de seguridad?

6

Al trabajar en una aplicación web con un sistema de autenticación de token, me pregunto si dar a un usuario acceso para ver su propia identificación de usuario, ¿un riesgo para la seguridad? No se podrá ver fácilmente, primero tendrían que marcar algunas cookies.

No solo busco respuestas específicas para esta implementación, sino que también tengo curiosidad sobre esto en general.

Para mi caso específico, usaré tokens web de JSON, lo que significa que el UID puede verlo el cliente, pero debido a la naturaleza de JWT, el token no es válido si la carga útil se modifica.

En este contexto, no es útil adivinar el UID de otra persona al conocer el formato del UID, ya que solo el uid + la firma forman un token válido y, por lo tanto, una solicitud válida.

    
pregunta Alex Redwood 06.12.2017 - 07:10
fuente

2 respuestas

1

En su caso específico no aparece. Sin embargo, en el sentido general, depende de cómo se utilizan sus UID. Si sus UID se usan en cualquier parte de su sistema como información confiable y su usuario puede deducir otros UID de su propia cuenta, tiene un problema. Por ejemplo, la compañía británica Moonpig publicó la noticia hace unos años cuando se determinó que sus identificaciones de usuario eran consecutivas y que la identificación de un usuario era información suficiente para solicitar la información privada de un usuario, incluidos nombres, cumpleaños, direcciones, los últimos cuatro créditos. Fechas de vencimiento de tarjetas y tarjetas de crédito.

Si sus UID son lo suficientemente aleatorios, entonces filtrarlos no disminuye la seguridad porque no proporcionan información adicional sobre otras cuentas a un atacante. Todavía necesitarían enumerar manualmente el posible espacio UID para encontrar los válidos. Sin embargo, la enumeración de UID no es especialmente difícil y las transacciones tan sensibles siempre deben estar protegidas por al menos otra información privada. En su caso, esa segunda información es el token que firma la solicitud.

    
respondido por el TBridges42 06.01.2018 - 18:54
fuente
0

Si el uid no proporciona acceso a nada en sí mismo, entonces no importa en absoluto. Siempre y cuando solo esté recuperando el uid del JWT en el backend, está bien. Simplemente no lo envíe en un parámetro de solicitud o consulta posterior y haga que su servidor confíe en él y estará bien.

    
respondido por el joe 07.12.2017 - 05:21
fuente

Lea otras preguntas en las etiquetas