А
Какие-нибудь time-based атаки возможны
Если ты про v1, то есть ещё 5 версий, можно выбрать
Size: a a a
2020 December 12
VC
Если в спеки написано Do not assume that UUIDs are hard to guess, то из этого надо исходить
VC
Это для всех версий
VC
криптостойкие рандомные инты или строки надежнее чем uuid по определению
А
криптостойкие рандомные инты или строки надежнее чем uuid по определению
Если мы говорим про ramsey/uuid, то он внутри юзает этот самый random_int
VC
А если хоть те, хоть другие как прямые ссылки используются, то вообще о секьюрности говорить не приходится - что введено в адресную строку, то знает гугл/яндекс/авторы плагинов и т. п.
k
Если в спеки написано Do not assume that UUIDs are hard to guess, то из этого надо исходить
думаю тут ещё вопрос в конкретной реализации, по идее реализация может и юзать криптосекурный рандом
VC
думаю тут ещё вопрос в конкретной реализации, по идее реализация может и юзать криптосекурный рандом
по идее да, но вопрос был про uuid в целом, даже без версии ) и с реализациями есть такой нюанс - добавил криптостойкую зависимость, всё хорошо, а потом начались тормоза, начали другие люди профилировать, увидели что реализация тормозит и заменили на не криптостойкую, но боле быструю. Они ведь опытные, спеки читают и знают, что uuid несекьюрный, и никто в здравом уме не будет на это завязывать безопасность ))
А
по идее да, но вопрос был про uuid в целом, даже без версии ) и с реализациями есть такой нюанс - добавил криптостойкую зависимость, всё хорошо, а потом начались тормоза, начали другие люди профилировать, увидели что реализация тормозит и заменили на не криптостойкую, но боле быструю. Они ведь опытные, спеки читают и знают, что uuid несекьюрный, и никто в здравом уме не будет на это завязывать безопасность ))
А товарищ, например, делает mvp
VC
Но ты уже определил жизнь проекта на 5 лет вперёд...
А вдруг выстрелит через месяц и начнёт тормозить и дадут кому-то таску оптимизировать )) И товарищ уже шифровать хочет
А
А вдруг выстрелит через месяц и начнёт тормозить и дадут кому-то таску оптимизировать )) И товарищ уже шифровать хочет
А вдруг не дадут?
VC
А вдруг не дадут?
А вдруг вообще никто не будет пытаться подбирать?
А
А вдруг вообще никто не будет пытаться подбирать?
Запросто
VC
Решения по безопасности не стоит принимать на основе "вдруг". Хотя бы на "стоимость защиты" вс "стоимость потерь"
VC
если уменьшить поверхность атаки стоит 50 баксов, а потери могут быть на миллионы в будущем, то только по большой бедности сейчас не нужно делать защиту
А
если уменьшить поверхность атаки стоит 50 баксов, а потери могут быть на миллионы в будущем, то только по большой бедности сейчас не нужно делать защиту
Большая часть вскрывшихся за последние годы факапов показывает, что там либо вообще никто нихера не делал, либо человеческий фактор