Wenn z.B. UUIDs verwendet werden, dann ist es de facto unmöglich eine andere gültige ID zu erraten.
Es gibt 3.4 * 10^38 UUIDs.
Wenn es 10 mio gültige Einträge gibt, dann braucht man im Schnitt pro richtig erratenem Eintrag 3.4 * 10^31 Versuche.
Selbst wenn man 1mio Versuche pro Sekunde schaffen würde (was per Internet bei weitem nicht möglich ist), dann bräuchte man immer noch rund 10^18 Jahre, was rund 78 Millionen mal so lange ist wie das Universum existiert.
Also ja, theoretisch ist es möglich, so eine UUID zu erraten, aber dafür müsste man zumindest Gott sein.
Im Vergleich zum Aufwand den es braucht um eine fortlaufende ID zu erraten: 1 einziger Versuch.
In der Tat, nur gibt es nicht “die eine” Sicherheitsvorkehrung, die alle anderen überflüssig macht.
Ein weitverbreiteter Fehlschluss ist, dass es ausreicht sich nur darüber Gedanken zu machen, wie man böswilligen Personen den Zugang versperrt. Die Frage ist nicht ob, sondern wann dieser Schutz versagt. Und wenn das passiert ist es wichtig, dass sich überlegt wurde, wie der Schaden, den eine Person im System anrichtet, minimiert werden kann. Und das die IDs für Benutzerdaten nicht einfach erraten werden können, ist eine sehr einfach umsetzbare Möglichkeit einer angreifenden Person Steine in den Weg zu legen.
Das is vielleicht einfacher, sollte aber beides grundsätzlich nicht möglich sein.
Wenn z.B. UUIDs verwendet werden, dann ist es de facto unmöglich eine andere gültige ID zu erraten.
Es gibt 3.4 * 10^38 UUIDs.
Wenn es 10 mio gültige Einträge gibt, dann braucht man im Schnitt pro richtig erratenem Eintrag 3.4 * 10^31 Versuche.
Selbst wenn man 1mio Versuche pro Sekunde schaffen würde (was per Internet bei weitem nicht möglich ist), dann bräuchte man immer noch rund 10^18 Jahre, was rund 78 Millionen mal so lange ist wie das Universum existiert.
Also ja, theoretisch ist es möglich, so eine UUID zu erraten, aber dafür müsste man zumindest Gott sein.
Im Vergleich zum Aufwand den es braucht um eine fortlaufende ID zu erraten: 1 einziger Versuch.
In der Tat, nur gibt es nicht “die eine” Sicherheitsvorkehrung, die alle anderen überflüssig macht.
Ein weitverbreiteter Fehlschluss ist, dass es ausreicht sich nur darüber Gedanken zu machen, wie man böswilligen Personen den Zugang versperrt. Die Frage ist nicht ob, sondern wann dieser Schutz versagt. Und wenn das passiert ist es wichtig, dass sich überlegt wurde, wie der Schaden, den eine Person im System anrichtet, minimiert werden kann. Und das die IDs für Benutzerdaten nicht einfach erraten werden können, ist eine sehr einfach umsetzbare Möglichkeit einer angreifenden Person Steine in den Weg zu legen.