サーバー/クライアント アプリケーションがあるとします。
サーバーは、クライアントに属する機密情報を保持します。サーバーは、クライアントの機密情報の横にあるいくつかのパラメーターを検索します。したがって、サーバーは一時的にクライアント制御で機密情報をデコードする必要があります。ただし、サーバーは自分でハッキングしてキーを公開しないでください。つまり、開発者はサーバー側のコードを変更しようとしたり、クライアント キーを抽出したりしないでください。
本当にそれを行う方法はありますか?一部のクライアントはサーバーが機密情報をデコードすることを許可していますが、キーはすぐに消えてしまい、開発者はこのパスワードを明らかにするためのトリックを持っていませんか?
答えが存在する場合、理想的な安全なクラウド アプリケーションにも有効です。開発者またはクラウド ホスティング会社は、復号化された情報にアクセスしないでください。
私は楽観的ではありませんが、質問してみる価値はあります。
だから一言で言えばいいえ。クライアントを信頼できないため、これはセキュリティをまったく付与しません。サーバーが一時的にクライアントによって制御されることさえありますが、これは一般的に賢明なアプローチではありません。また、退屈な開発者を過小評価しないでください。コードを書いてキーをリッピングすることは完全に実行可能です。ここで重要なのは、誰かがボックスにアクセスできた場合、それはもはやあなたのボックスではないということです。
一般に、クライアントがサーバー上の機密情報にアクセスする場合は、クライアントの認証を要求する必要があります。これにより、クライアントが本人であると主張していることを正確に確認できます。通常、認証には、安全なチャネルを介してサーバーからクライアントに提供されたパスワードまたはある種の認証トークン (暗号化された共有シークレットなど) の送信が含まれます。
何度も何度も言われてきたように、適切かつ十分な認証なしにクライアントがサーバー データにアクセスできるようにすることは、サーバーの制御を放棄することを意味します。