2015
04
27
04
27
Python: セキュアなトークン取得方法
CSRF対策などに使うトークンはUUIDを使うのがいいのかなとこれまで考えていたが、気になるコメントをある記事で見つけた。
http://www.tokumaru.org/d/20110127.html
UUID4なら十分なランダム性が得られるので問題ないかと思っていたが、仕様として”Do not assume that UUIDs are hard to guess”とも記述されていた。UUIDを推測するのが難しいものだと思うなと。
StackOverflowにセキュアなトークンをどう出すかと、どうしてまずいかを解説しているものを見つけられらた。要はUUIDではセキュアといえるほどの乱雑さはないらしい。つまり無作為に作られるユニークIDとして使うには問題ないが、認証用のトークンとして使うには予想がどうにかついてしまうということだろう。
http://stackoverflow.com/questions/817882/unique-session-id-in-python/6092448#6092448
http://www.tokumaru.org/d/20110127.html
UUID4なら十分なランダム性が得られるので問題ないかと思っていたが、仕様として”Do not assume that UUIDs are hard to guess”とも記述されていた。UUIDを推測するのが難しいものだと思うなと。
StackOverflowにセキュアなトークンをどう出すかと、どうしてまずいかを解説しているものを見つけられらた。要はUUIDではセキュアといえるほどの乱雑さはないらしい。つまり無作為に作られるユニークIDとして使うには問題ないが、認証用のトークンとして使うには予想がどうにかついてしまうということだろう。
http://stackoverflow.com/questions/817882/unique-session-id-in-python/6092448#6092448
スポンサーサイト
