<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><div>Rob,</div><div><br></div><div>That is a hard question.  The short answer is that it depends on the type of UUID.  Type 1 () is mac address of the server + timestamp, so probability of guessing another UUID in the system is very high.  Type 4 (random) has 122 bits, so probability of collision is extremely small and is also dependent on having a good random number generator.  A poor implementation might be predictable.  Type 5 (namespace) has fewer bits depending on the size of the namespace.  </div><div><br></div><div><div><a href="http://en.wikipedia.org/wiki/Birthday_problem#Probability_table">http://en.wikipedia.org/wiki/Birthday_problem#Probability_table</a></div><div><br></div><div>I think in general web url usage, a bare UUID as authentication mechanism isn't considered good practice, but it really depends on how many elements you have in the system, how it is protected from brute-force attacks, etc.</div><div><br></div><div>Brian</div><div><br><div apple-content-edited="true">
<span class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px;"><div><div style="font-size: 12px; ">-------------------------------------------------</div><div style="font-size: 12px; ">Brian Schott, CTO</div><div style="font-size: 12px; ">Nimbis Services, Inc.</div><div style="font-size: 12px; "><a href="mailto:brian.schott@nimbisservices.com">brian.schott@nimbisservices.com</a></div><div style="font-size: 12px; ">ph: 443-274-6064  fx: 443-274-6060</div></div><div><br></div></span><br class="Apple-interchange-newline">
</div>
<br><div><div>On Dec 9, 2013, at 3:06 PM, Clark, Robert Graham <<a href="mailto:robert.clark@hp.com">robert.clark@hp.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div lang="EN-GB" link="#0563C1" vlink="#954F72" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><div class="WordSection1" style="page: WordSection1;"><div style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">Guys,<o:p></o:p></div><div style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div><div style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">Is there any way you know of to infer or guess at the UUID of a compute instance belonging to another tenant?<o:p></o:p></div><div style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div><div style="margin: 0cm 0cm 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">-Rob<o:p></o:p></div></div>_______________________________________________<br>Openstack-security mailing list<br><a href="mailto:Openstack-security@lists.openstack.org" style="color: rgb(149, 79, 114); text-decoration: underline;">Openstack-security@lists.openstack.org</a><br><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" style="color: rgb(149, 79, 114); text-decoration: underline;">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a></div></blockquote></div><br></div></div></body></html>