this post was submitted on 12 Jun 2025
83 points (100.0% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

3968 readers
325 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Aus gegebenem Anlass werden Posts zum Thema Palästina / Israel hier auf Dach gelöscht. Dasselbe gilt zurzeit für Wahlumfragen al´a Sonntagsumfrage.
___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 1 year ago
MODERATORS
Seven@feddit.org
Der_aus_Aux@feddit.org
83
Hätte Numa wie angekündigt mein Zimmer einfach kostenfrei storniert, als ich meinen Ausweis nicht teilen wollte, wäre ich nie auf anderer Leute Ausweisdaten gestoßen (marx.wtf)
submitted 4 days ago by copacetic@discuss.tchncs.de to c/dach@feddit.org
26 comments fedilink hide all child comments
you are viewing a single comment's thread
view the rest of the comments
[–] Arigion@feddit.org 7 points 4 days ago (18 children)

Was ist denn das Problem mit einer fortlaufenden ID?

[–] Lemmchen@feddit.org 22 points 4 days ago* (last edited 4 days ago) (12 children)

Sofern nicht andweitig geschützt, kannst du einfach immer die ID um eins erhöhen/verringern um auf Daten anderer Nutzer zuzugreifen. Bei zufälligen IDs ist das nicht möglich, bzw. sehr unwahrscheinlich.

[–] Arigion@feddit.org 18 points 4 days ago (11 children)

Genau. Sofern nicht anderweitig geschützt. Das ist das Problem, nicht die fortlaufende ID. Persönliche Daten hinter einer zufälligen ID zu verstecken statt hinter einem Zugriffsschutz ist "security by obscurity". Man kann immer noch mit Brute-Force die Daten bekommen. Der Zugriff ist immer noch möglich, nur dauert er eventuell länger.

Richtig wäre es gewesen jedem Link eine eindeutige Kennung zuzuordnen, die nur Zugriff auf die relevanten IDs hat.

Dieser Spinn "oh, ein Fehler, die IDs waren fortlaufend, passiert schon mal" verdeckt die beiden tatsächlichen Probleme:

  • Zugriff auf persönliche Daten ohne Authentifizierung
  • Unzulässige Erhebung von personenbezogenen Daten
[–] squaresinger@lemmy.world 2 points 1 day ago

Wenn du UUID verwendest und es 10 mio gültige Einträge gibt, und du 1 mio Versuche pro Sekunde schaffst, dann brauchst du rund 78 Millionen mal so lange wie das Universum existiert um irgendeine dieser UUIDs zu erraten.

Das ist keine Secutity by Obscurity, sondern die UUID ist die Authentifizierung.

Security by Obscurity ist dann wenn ein Wissen über den verwendeten Mechanismus ohne Wissen des Geheimnisses (Schlüssel, UUID, Passwort, ...) dazu führt, dass die Sicherheit weg ist.

Sonst wäre Password Authentication oder Signaturen ja auch Security by Obscurity, weil wenn man das Passwort/den Schlüssel weiß, dann kommt man ja auch rein.

load more comments (10 replies)
load more comments (10 replies)
load more comments (15 replies)