我打算让Rails项目的数据库可以公开下载。此数据库包含Authlogic用户表,其中包含crypted_password和password_salt字段。这些密码存储的安全性如何......以这种方式公开提供它们是否安全?或者我应该考虑实现另一个身份验证系统,如OpenID,它不会将密码存储在数据库中?
答案 0 :(得分:2)
无论安全性和加密程度如何,分享这一点绝对不是一个好主意。即使它是完全安全的,至少你会泄露用户数据,这听起来不像你的用户可能会感到高兴。如果它不是完全安全的话(更有可能) - 假设,例如,还没有发现authlogic的一个关键弱点?
比抱歉更安全。如果需要,可以分享其余部分,但保持用户表和相关数据的包装!
答案 1 :(得分:2)
我建议您从计划共享的任何数据库中删除涉及用户身份验证(电子邮件,密码,盐和密钥,开放ID网址)的任何字段,否则当有人恶意获取时您可能会发现自己陷入了痛苦的世界它的。
答案 2 :(得分:1)
我认为,无论您使用哪种身份验证系统,都不要在公开的数据库中包含用户表是明智的。使用authlogic的一个优点是,您可以实现多种无痛地进行身份验证的方法。如果您使用传统注册,OAuth,OpenID或RPX并不重要,所有这些方法都能够将密码之外的个人信息提取到您的用户模型中。用户可能不会对DOB / first&姓氏/位置信息也是公开的。
答案 3 :(得分:1)
分享散列密码绝对不安全,也许您应该尝试将用户模型拆分为UserProfile(用户的公共信息 - 昵称,位置等)和可用于身份验证的UserAccount。然后你可以分享除帐户以外的所有内容。或者可以考虑实现某种API,其他人可以使用它来从您的网站提取数据,而不是发布整个数据库。