Gibt es Sicherheitsprobleme bei der Verwendung von ASP.NETs "UserProfileID" in einer URL?

Question

Ich habe die Benutzersteuerung (ASP.NET 3.5) implementiert und bemerkte, dass jeder Benutzer ein UserProfileID gegeben

Ich bin eine öffentliche Seite für jeden Benutzer Umsetzung as asked and answered here, welche die UserProfileID in der URL verwenden.

Meine Frage ist, kann die UserProfileID böswillig verwendet werden? Ist es in Ordnung, dass jemand diese Person UserProfileID sehen kann?

Ist es in Ordnung, so etwas in der URL zu haben?

(Auch sind die Benutzer-IDs sehr lang, das heißt - a051fc1b-4f51-485b-a07d-0f378528974e Gibt es eine Möglichkeit zu verkürzen, was jede eindeutige URL des Benutzers?)

Answer 1

Die Antwort auf Ihre erste Frage ist nicht, gibt es nicht wirklich Sicherheitsprobleme, die dadurch entstehen, dass die ID eines Benutzers in der URL offengelegt wird (solange Sie andere Autorisierungsmittel haben - verwenden Sie diese ID nicht in der URL, um den Benutzer zu autorisieren).

Um Ihre zweite Frage zu beantworten, ist die ID eine GUID, die ziemlich lang ist. Wenn Sie etwas kürzer möchten, müssen Sie Ihr UserProfile-Objekt mit einem anderen Typ als Schlüssel im Datenspeicher speichern (wie eine Ganzzahl, die kürzer wäre).