Die meisten Leute generieren die IDs für eine Community ja, indem sie im PHPMyAdmin ein Feld "id" anlegen, das ein Primary Key ist und auf "auto_increment" gestellt ist. So bekommt dann jeder User eine ID, die immer um eins höher ist als die vorherige.
Nun habe ich einen Blog-Eintrag gelesen, in dem über ein Sicherheitsloch im studiVZ diskutiert wurde. Dort werden verschlüsselte IDs verwendet, damit man nicht durch Hochzählen alle Profile erreichen kann.
Jedoch leiteten diese IDs nur auf die normalen IDs weiter, sodass man die Profile auch noch über die fortlaufende Nummerierung erreichen konnte.
Ich habe mir nun gedacht: Wieso nimmt man nicht direkt als ID einen verschlüsselten Wert statt dem "auto_increment"? Das habe ich jetzt auf meiner Seite mal so gemacht. Drei User, die sich direkt nacheinander registriert haben, haben die folgenden IDs bekommen: 262335433, 683335433, 614335433
Haltet ihr so ein System für sicher? Ist es besser als die ID-Vergabe über auto_increment?
Danke im Voraus für die Antworten!
Nun habe ich einen Blog-Eintrag gelesen, in dem über ein Sicherheitsloch im studiVZ diskutiert wurde. Dort werden verschlüsselte IDs verwendet, damit man nicht durch Hochzählen alle Profile erreichen kann.
Jedoch leiteten diese IDs nur auf die normalen IDs weiter, sodass man die Profile auch noch über die fortlaufende Nummerierung erreichen konnte.
Ich habe mir nun gedacht: Wieso nimmt man nicht direkt als ID einen verschlüsselten Wert statt dem "auto_increment"? Das habe ich jetzt auf meiner Seite mal so gemacht. Drei User, die sich direkt nacheinander registriert haben, haben die folgenden IDs bekommen: 262335433, 683335433, 614335433
Haltet ihr so ein System für sicher? Ist es besser als die ID-Vergabe über auto_increment?
Danke im Voraus für die Antworten!