Using Rescript with NodeJs and Express
https://dusty.phillips.codes/2021/03/16/using-rescript-with-nodejs-and-express/
Что думаете о статье ?

генерирую ссылку, в которой будет query параметр email, стоит ли этот емаил  шифровать?

Передавайте id

хм)) и правда)

спасибо!

Не за что)

Ну и не стоит использовать auto incremented id в URL, в определенных ситуациях это может привести к security issues, если сразу об этом не задуматься.

например?

если security over obsсurity разве что

а у меня как раз auto incremented id) Делаю регистрацию. Это мне нужно что бы сгенерировать ссылку-подтверждение регистрации. В ссылке будет code и id созданного, но еще не подтвержденного юзера.. Так не стоит? Можно было бы сделать code просто уникальным в базе, ноо он у меня еще для другого кейса используется и поэтому подумал что не стоит делать уникальным. На самом думаю ооочень врядле что код когда то совпадет иии возможно я просто зря заморачиваюсь)

guid

Если нет нормальной авторизации можно начать перебирать все id по порядку и получить информацию, которую Вы не должны были бы получить.
Ну и плюс это число покажет как минимум количество пользователей в системе (если это used id). Но это такой себе аргумент. Зависит от того, хотите ли Вы скрыть эту информацию.

)

это уже не про уязвимости, а просто так - никто не знает сколько у вас счетчик секвентировался, просто ради поддержания темы )

Генерируйте короткоживущий токен, который можно использовать только один раз (это важно).
Такие ссылки не должны содержать что-либо предсказуемое.

Да, я и говорю, что второе - так себе аргумент)

аще не важно, но так брутальнее, согласен

как и остальное

вопрос не в плоскости It вообще, кол-во чего то там

Вы не считаете, что выполнение какой-то операции путем последовательного перебора id это потенциальная уязвимость?
Если есть баг в системе авторизации, с тем же UUID перебор не пройдет