我最初在 Stack Overflow 上问了这个问题,但人们建议我在这里问。
我正在编写需要唯一标识多台不同机器的软件。我打算用/etc/machine-id它来做这件事。
在阅读machine-id的文档时,我偶然发现了这段话:
此 ID 唯一标识主机。它应被视为“机密”,不得在不受信任的环境中公开,尤其是在网络上。如果某些应用程序需要与机器绑定的稳定唯一标识符,则不得直接使用机器 ID 或其任何部分。取而代之的是,机器 ID 应该使用加密的、加密的散列函数进行散列,使用固定的、特定于应用程序的密钥。
我对 dbus 了解不多,但我的印象是它仅适用于 IPC。如果是这种情况,我不知道为什么远程攻击者知道机器 ID 真的很重要。除了明显的隐私问题之外,是否有任何(已知的)合法的安全理由不共享机器 ID?或者这只是一些措辞强硬的文档的一个例子?
不,此文本是出于隐私原因而非安全原因添加的。
machine-id 类似于 iOS UDID 或 MAC 地址;不必要地公开它(通过网络或沙盒应用程序)可能允许某人跨网络跟踪程序的用户,或链接同一个人对不同应用程序的使用。
见讨论:
| 归档时间: |
|
| 查看次数: |
1387 次 |
| 最近记录: |