ランダムなURLだけで注文状況ページを保護するだけで十分ですか？

（法人）のお客様がオンラインショップで商品を購入した後、購入した商品の概要をメールで送信します。

受け取った支払い、パケット追跡などについてお客様にお知らせしたいと思います。私は、各注文にランダムなIDを割り当て、各メールにリンクを追加することでこれを解決します。リンクは次のようになります。 http://shop.foo.bar/order/rwklvc46g9wt7kvy09f1

データを保護するために追加の対策を講じますか？または完全に異なるソリューションを選択しますか？

利点：

• メールごとのステータスの更新はありません（特に頻繁に更新が発生する場合）
• 単一の情報源（決して古くない）
• 共有可能（上司や同僚など）

短所：

• 公的にアクセス可能なウェブサイトで公開される個人データ（例：電話番号、支払いの詳細）

追加の安全がなければ、違います。ランダムURLは常にクロールされます。ただし、これは、ユーザーを認証するためのサインオンページで完了した場合に適しています。

中間的な解決策は、ステータスページに個人データがなく、一般情報のみが含まれていることを確認することです。たとえば、「PAID by VISA 1234567891」ではなく「PAID BY CC」、「Shipped to John Doe、123 Blue Street」ではなく「Shipped」などです。

そのデータをもっと保護すべきだと思います。システムの単純さに関しては、ランダムで一意の文字列を含むパブリックURLで十分であり、便利だと私は強く同意します。

ただし、支払い方法（クレジットカード情報を含む）、電子メール、または電話が表示される場合は、そのデータを保護する必要があります。それはあなたが世界のどの部分にいるかにも依存しますが、それらのほとんどでは、この必要性は法的問題とユーザーのデータ保護にまで及びます。

この種の状況でほとんどのショッピングWebサイトが行うのは、資格情報（ログイン/パスワード）または追跡コード付きの追跡番号、またはユーザーまたはユーザーの信頼できる関係者のみが持つ可能性のあるものを要求することです。

はい、次の条件が満たされていれば十分です。

1. メールでリンクを送信するだけで、Googleに送信しないでください。しかし、あなたの質問によると、これはあなたが何をしているのですか？したがって、Googleがそのリンクを知る方法はありません。

2. リンクで使用するIDをランダムにし、十分に長くします。ランダムではないが、IDとして単純な増分整数を使用する場合、顧客がリンクに増分的に単純な数値を入力することにより、他のすべての注文を読み取ることができることを簡単に発見できます。ランダムではあるが十分に長くない場合（たとえば、4桁/文字のみで構成されているとしましょう）、自宅のPCでも注文をブルートフォース攻撃するのは簡単です。試してみるだけです（26 + 10）^ 4 = 1,679,616通りの組み合わせ。1秒あたり1つのリンクを試行するスクリプトを実行するとします。可能なリンクをすべてブルートフォースでブロードフォースし、すべての注文を読み取るのにかかるスクリプトの所要時間は20日未満です。

3. 重要：セキュリティを強化するために、特定の日数後（つまり1か月後）にリンクを削除する必要があります。これはそれを安全にするトリックです。このようにして、誰かがあなたのリンクをブルートフォースにしようと試みたとしても、彼は巨大な計算力を必要とするでしょう。また、計算能力が非常に高い場合でも、注文を処理するサーバーが1秒に1回繰り返し接続しようとすると、接続を拒否し始める可能性があるため、1秒あたり複数のリンクをテストすることはほとんどできません。参考：リンクを削除しても、DB内のすべての注文を削除する必要はありません。注文テーブルに別の主キー（単純な自動インクリメントint）を使用でき、リンクに入力するlink_idと呼ばれるUNIQUEフィールド（NULLを許可）を使用できます。1か月後は、link_idの値を削除してNULLに設定するだけです。このようにして、注文はまだ表にあり、管理パネルから表示できますが、直接リンクは注文ページを直接表示するために有効ではなくなります。