Cytat
Mysle, żeby dodac do parametrów jeszcze id "https://DOMENAl/admin/pdf_prof.php?kod=4717a8b83fd6565c6656c72e5dcd4a&id=44" i wtedy po 30 próbach złych blokować dany dokument.
30 literowy kod to ile to milkiardów opcji? smile.gif Równie dobrze można tak samo każde hasło odgadnąć.
Jesteś taki pewny co do tego hashu? Czym go generujesz ? Wiesz jaka jest entropia tego algorytmu ? Podpowiem: dla hasha z Twojego przykładu "4717a8b83fd6565c6656c72e5dcd4a" jest to niecałe 114bitów, dupy nie urywa jeśli chodzi o dzisiejsze standardy (nawet md5 ma większa). Teraz pytanie jak go tworzysz, bo tutaj może być duża luka. Stąd też powstały ustandaryzowane metody, tutaj pasowałby np UUID v4. powołując się na nie, zwalniany jesteś od pewnej grupy zarzutów.
Tutaj akurat w pełni popieram sprawdzającego wg mnie to też luka. Swoją drogą spoko że argumentują decyzję i podają rozwiązania. Kontrolujący napisał jak problem można rozwiązać i się z nim zgadzam.
co do Twojego pomysłu, jak dodasz jeszcze parametr id to tylko pogorszysz bezpieczeństwo. Jak rozpracuje Twój hash, pobiorę bez problemu wszystkie Twoje dokumenty
EDIT: mała ciekawostka - gtx 1080 TI w ciągu jednej sekundy potrafi wygenerować 31 milardów hashy md5.