PHP または Javascript で AES 暗号化を実装する Web アプリケーションにとって、どちらがより安全ですか?
私は PHP に慣れており、ユーザーがテキストブロックやファイルを暗号化してデータベースに保存できる単純なフォームに対称アルゴリズムを使用したいと考えています。
ユーザーは、後で同じキーを使用してテキストまたはファイルを取得できます。
PHP POST/GET を使用して AES を実装すると、攻撃に対して脆弱になる可能性があります。
ユーザーに SHA-256 ( Key ) を提供する方が良いですか?
誰かがこの種のタスクに対して正しい AES 暗号化の優れたオンライン実装を提供できますか?
ありがとう
主な違いは、ユーザー (ブラウザー) がデータを暗号化するか、あなた (サーバー) が暗号化するかのようです。
クライアント側の暗号化を使用すると、サーバー オペレーターがユーザーのデータにアクセスできない "trust-no-one" システムを実現できます。もちろん、これにより、失われたキーを回復したり、検索や共有サービスを提供したりすることもできなくなります。
しかし、@SLaks のコメントを参照してください。ウェブサイトから送られてくる Javascript を盲目的に信頼している場合、セキュリティを確保することはできません。これが本当に重要な場合は、精査および署名されたネイティブ クライアント アプリの方が優れた (ただし利便性は劣る) ソリューションになる可能性があります。