Security Tip: استخدم أرقام مؤقتة مشفرة بدلاً من الارقام الحقيقة

Security Tip:
Display hashed temporary IDs instead of real IDs.
كمثال :- ليس من الجيد عرض
userId
أو customerId
فى العنوان
(Url)
أو فى حقل مخفي فى الصفحة كمثال.
فقد يساء استخدامه فى عمليات
Indirect access,
وهى تلك العمليات التى يلجأ إليها من يريد أن يعبث بالبيانات , كمن يريد تحديث أو عرض بيانات غيره من خلال التغيير فى رقم فى العنوان أو الحقل المخفي, أو إرسال رقم مستخدم أو عميل آخر بدلاً من رقمه فى العملية التى يقوم بها من خلال أداة مثل
PostMan أو Fiddler أو ما شابه .
والحل يكون فى استخدام رقم أو نص “مشفر” يصعب التعديل فيه. مثال استخدام
var tempId = Guid.NewGuid().ToString()
فينتج عنه رقم مثال :-
“50ae57d2-74b2-4cb6-8625-4a507b329506”
وكما تري فليس رقم متوقعاً مثال : 10 و 22 أو أى رقم سهل توقع ما بعده.
وإليك الحل فى خطوات و لنأخذ على سبيل المثال
Customer Id
* قم بإحضار بيانات العملاء من قاعدة البيانات.
* قم بانتاج رقم “”مشفر”” لكل رقم عميل , وقم بتخزين الجميع فى وسيلة تخزين “”مؤقتة”” وليكن مثلاً فى
Dictionary
* قم باستخدام وعرض الرقم المؤقت المشفر داخل صفحات الموقع بدل من رقم العميل الحقيقي.
* عندما يقوم المستخدم بارسال الرقم المؤقت المشفر إلى السيرفر, سنقوم باحضار رقم العميل الحقيقي المقابل له من الـ
Dictionary.
* ثم نقوم باستخدام رقم العميل الحقيقي بدلاً من الرقم المؤقت المشفر فى العمليه المراد تنفيذها, وذلك لإن قاعدة البيانات ليس لديها علم بهذا الرقم المؤقت. فالرقم المؤقت نستخدمه فقط للعرض للمستخدم فى الصفحة.
وبهذة الطريقة, من الصعب على مستخدم متطفل أن يقوم بالتعديل فى الرقم المؤقت لتخمين أو توقع رقم عميل أخر للوصول إلى بياناته, وهذا هو الهدف مما نتحدث عنه .
أحببت أن أشارككم بهذة الطريقة للمساعدة فى حماية بيانات العملاء, والمساهمة فى إخراج تطبيقات آمنة. ومن لديه أسئلة أو يريد المناقشة مرحباً به .
اللهم علمنا ما ينفعنا وأنفعنا بما علمتنا وزدنا علما, والحمد لله رب العالمين.

 

Advertisements

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار وردبرس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s