কেবল একটি এলোমেলো ইউআরএল দ্বারা অর্ডার স্থিতি পৃষ্ঠাটি সুরক্ষিত করার পক্ষে কি যথেষ্ট?

একজন (কর্পোরেট) গ্রাহক আমাদের অনলাইন শপটিতে কিছু আইটেম কেনার পরে, তিনি তার কাছে কী কিনেছেন তার একটি সংক্ষিপ্তসার সহ আমরা একটি ইমেল প্রেরণ করি।

আমরা আমাদের গ্রাহককে প্রাপ্ত অর্থপ্রদান, প্যাকেট ট্র্যাকিং ইত্যাদির বিষয়ে জানাতে চাই, প্রতিটি আদেশকে একটি এলোমেলো আইডি নির্ধারণ করে এবং প্রতিটি মেইলে একটি লিঙ্ক যুক্ত করে আমি এটি সমাধান করব। লিঙ্কটি এর মতো হতে পারে: http://shop.foo.bar/order/rwklvc46g9wt7kvy09f1

আপনি কি ডেটা রক্ষার জন্য অতিরিক্ত ব্যবস্থা গ্রহণ করবেন? বা একটি সম্পূর্ণ ভিন্ন সমাধান চয়ন?

সুবিধাদি:

• মেল প্রতি কোনও বিরক্তিকর স্থিতির আপডেট নেই (বিশেষত যদি ঘন ঘন আপডেট হয়)
• একক তথ্যের উত্স (কখনই পুরানো হয় না)
• ভাগযোগ্য (যেমন তাঁর বস বা সহকর্মীদের কাছে)

অসুবিধা:

• জনসাধারণের অ্যাক্সেসযোগ্য ওয়েবসাইটে ব্যক্তিগত ডেটা উন্মুক্ত করা হয়েছে (যেমন ফোন নম্বর, অর্থ প্রদানের বিশদ)

অতিরিক্ত সুরক্ষা ছাড়া, না। র্যান্ডম ইউআরএলগুলি সর্বদা ক্রল করা হয়। তবে, ব্যবহারকারীকে প্রমাণীকরণের জন্য সাইন-অন পৃষ্ঠার সাহায্যে এটি করা ভাল।

একটি মধ্যবর্তী সমাধান হ'ল স্থিতির পৃষ্ঠায় কোনও ব্যক্তিগত তথ্য নেই, কেবলমাত্র সাধারণ তথ্য রয়েছে তা নিশ্চিত করা। উদাহরণস্বরূপ, 'PAID by VISA 1234567891' এর পরিবর্তে 'PAID BY CC' এবং 'John Doe এ প্রেরণ করা, 123 ব্লু স্ট্রিট' ইত্যাদি etc.

আমি মনে করি আপনার সেই ডেটা আরও সুরক্ষিত করা উচিত। সিস্টেমটির সরলতার জন্য, আমি অত্যন্ত সম্মত হই যে একটি এলোমেলো এবং অনন্য স্ট্রিং সহ সর্বজনীন ইউআরএলগুলি যথেষ্ট এবং কার্যকর।

তবে, যদি অর্থ প্রদানের পদ্ধতিগুলি (ক্রেডিট কার্ডের তথ্য সহ), ইমেল বা ফোনগুলি প্রদর্শিত হতে থাকে, ঠিক সেখানে আপনার সেই ডেটা রক্ষা করার দরকার আছে। এটি আপনি বিশ্বের কোন অংশের উপরও নির্ভর করে তবে বেশিরভাগ ক্ষেত্রে এই প্রয়োজনীয়তা আইনী বিষয় এবং ব্যবহারকারীর ডেটা সুরক্ষার ক্ষেত্রে প্রসারিত।

এই ধরণের পরিস্থিতিতে বেশিরভাগ শপিং ওয়েবসাইটগুলি যা করে তা হ'ল হয় শংসাপত্রের জন্য (লগইন / পাসওয়ার্ড) অথবা একটি ট্র্যাকিং কোড সহ একটি ট্র্যাকিং নম্বর, বা এমন কিছু যা কেবল ব্যবহারকারী বা ব্যবহারকারীর বিশ্বাসযোগ্য দলগুলির কাছে থাকতে পারে ask

হ্যাঁ এটি যথেষ্ট হিসাবে যথেষ্ট:

1. আপনি কেবল ইমেলটির মাধ্যমে লিঙ্কটি প্রেরণ করেছেন এবং এটি Google এ জমা দেবেন না। তবে আপনার প্রশ্ন অনুসারে এটি আপনি যা করেন তাই গুগলের পক্ষে লিঙ্কটি জানার কোনও উপায় নেই কারণ এটি কখনই সূচী / ক্রল হবে না।

2. আপনি লিঙ্কে ব্যবহৃত আইডি এলোমেলোভাবে এবং যথেষ্ট দীর্ঘ। যদি এটি এলোমেলো না হয় তবে আপনি একটি সাধারণ বর্ধিত পূর্ণসংখ্যার আইডি হিসাবে ব্যবহার করেন আপনার গ্রাহকের একজন সহজেই চিহ্নিত করতে পারেন যে লিঙ্কে ক্রমবর্ধমান সাধারণ সংখ্যা প্রবেশ করিয়ে তিনি অন্য সমস্ত আদেশ পড়তে পারেন। যদি এটি এলোমেলো, তবে যথেষ্ট দীর্ঘ না হয় (আসুন আমরা এটি কেবল 4 টি সংখ্যা / অক্ষর দিয়ে বলি) আপনার আদেশটি জোর করে আপনার অর্ডার আক্রমণ করা কোনও হোম পিসি দিয়ে সহজ হবে তবে আমার কেবল চেষ্টা করতে হবে (26 + 10) ^ 4 = 1,679,616 সম্ভাব্য সংমিশ্রণগুলি। আসুন আমি বলি যে আমি একটি স্ক্রিপ্ট চালাচ্ছি যা প্রতি সেকেন্ডে একটি লিঙ্ক চেষ্টা করে, সমস্ত সম্ভাব্য লিঙ্কগুলি জোর করে এবং আপনার সমস্ত আদেশ পড়তে স্ক্রিপ্টে 20 দিনেরও কম সময় লাগবে।

3. গুরুত্বপূর্ণ: বর্ধিত সুরক্ষার জন্য আপনার নির্দিষ্ট সংখ্যক দিনের পরে লিঙ্কটি মুছে ফেলা উচিত (অর্থাত্ 1 মাসের পরে)। এটি এটিকে সুরক্ষিত করার কৌশল। এইভাবে কেউ যদি আপনার লিঙ্কগুলিকে জোর করে চাপিয়ে দেওয়ার চেষ্টা করে তবে তার পক্ষে বিশাল ক্যালক শক্তির প্রয়োজন হবে অন্যথায় তার আক্রমণটি মুছে ফেলার আগে সমস্ত সম্ভাব্য সংমিশ্রণগুলি চেষ্টা করার পক্ষে এটি কখনই তত দ্রুত হবে না। এমনকি যদি তিনি একটি বিশাল ক্যালক শক্তি পেয়ে থাকেন তবে তিনি প্রতি সেকেন্ডে একাধিক লিঙ্ক পরীক্ষা করতে সক্ষম হবেন না কারণ আপনার আদেশগুলি পরিচালনা করে এমন সার্ভার যদি সে দ্বিতীয় বার বার সংযোগ করার চেষ্টা করে তবে তার সংযোগটি প্রত্যাখ্যান করতে পারে। এফওয়াইআই: লিঙ্কটি মোছার অর্থ এই নয় যে আপনাকে ডিবিতে সমস্ত আদেশ মুছে ফেলতে হবে। আপনি অর্ডার টেবিলের জন্য অন্য একটি প্রাথমিক কী ব্যবহার করতে পারেন (একটি সাধারণ স্বতঃআগ্রহপূর্বক ইন) এবং আপনি লিঙ্কে প্রবেশ করানো লিঙ্ক_আইড নামক একটি অনন্য ক্ষেত্র (যা NULL কে অনুমতি দেয়) ব্যবহার করতে পারেন। এক মাস পরে আপনার কেবল লিঙ্ক_আইডির মানটি মুছতে হবে এবং এটি নির্ধারণ করতে হবে। এইভাবে অর্ডারটি এখনও টেবিলের মধ্যে থাকবে এবং আপনার অ্যাডমিন প্যানেল থেকে দেখা যাবে, তবে সরাসরি অর্ডার পৃষ্ঠাটি দেখার জন্য সরাসরি লিঙ্কটি আর বৈধ হবে না।