第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問題,去搜搜看,總會(huì)有你想問的

是否可以將本地存儲(chǔ)視為安全的?

是否可以將本地存儲(chǔ)視為安全的?

泛舟湖上清波郎朗 2019-11-25 11:19:30
我需要開發(fā)一個(gè)可長期離線運(yùn)行的Web應(yīng)用程序。為了使它可行,我無法避免將敏感數(shù)據(jù)(個(gè)人數(shù)據(jù),而不是您將僅存儲(chǔ)散列數(shù)據(jù)的類型)保存在本地存儲(chǔ)中。我接受不推薦這樣做,但是我?guī)缀鯖]有選擇要執(zhí)行以下操作來保護(hù)數(shù)據(jù):使用斯坦福javascript密碼庫和AES-256將所有內(nèi)容都加密到本地存儲(chǔ)中用戶密碼是加密密鑰,未存儲(chǔ)在設(shè)備上通過ssl從單個(gè)受信任的服務(wù)器提供所有內(nèi)容(在線時(shí))使用owasp antisamy項(xiàng)目驗(yàn)證往返服務(wù)器本地存儲(chǔ)的所有數(shù)據(jù)在appcache的網(wǎng)絡(luò)部分中,不使用*,而是僅列出與受信任服務(wù)器連接所需的URI通常,嘗試應(yīng)用OWASP XSS備忘單中建議的指南我很欣賞魔鬼在細(xì)節(jié)上的細(xì)節(jié),并且知道人們對(duì)本地存儲(chǔ)和基于JavaScript的安全性普遍持懷疑態(tài)度。任何人都可以評(píng)論是否存在:上述方法的根本缺陷?有什么辦法可以解決此類缺陷?html 5應(yīng)用程序必須長時(shí)間離線運(yùn)行時(shí),還有什么更好的方法來保護(hù)本地存儲(chǔ)?謝謝你的幫助。
查看完整描述

3 回答

?
皈依舞

TA貢獻(xiàn)1851條經(jīng)驗(yàn) 獲得超3個(gè)贊

作為對(duì)該主題的探索,我有一個(gè)名為“使用Web密碼學(xué)API保護(hù)TodoMVC”的演示文稿(視頻,代碼)。


它使用Web加密API通過密碼保護(hù)應(yīng)用程序并使用密碼派生密鑰進(jìn)行加密,從而將加密的待辦事項(xiàng)列表存儲(chǔ)在localStorage中。如果忘記或丟失密碼,將無法恢復(fù)。(免責(zé)聲明-這是一個(gè)POC,不用于生產(chǎn)用途。)


在其他答案中,這仍然容易受到客戶端計(jì)算機(jī)上安裝的XSS或惡意軟件的影響。但是,當(dāng)數(shù)據(jù)存儲(chǔ)在服務(wù)器上并且正在使用該應(yīng)用程序時(shí),任何敏感數(shù)據(jù)也將位于內(nèi)存中。我建議脫機(jī)支持可能是引人注目的用例。


最后,對(duì)localStorage進(jìn)行加密可能只會(huì)保護(hù)數(shù)據(jù),使其免受對(duì)系統(tǒng)或其備份具有只讀訪問權(quán)限的攻擊者的攻擊。它為OWASP十大A6敏感數(shù)據(jù)公開項(xiàng)目增加了少量的縱深防御,并允許您回答“這些數(shù)據(jù)是否長期以明文形式存儲(chǔ)?” 正確地。


查看完整回答
反對(duì) 回復(fù) 2019-11-25
  • 3 回答
  • 0 關(guān)注
  • 939 瀏覽
慕課專欄
更多

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)