-2

次のセキュリティの概念が Web アプリに適しているかどうか疑問に思っています。

1) ログイン UI は SSL 経由でのみ使用できます。

2) ログイン UI は 3 つのフィールドで構成されます。

  • リスト項目
  • ユーザー名、
  • ファイルアップロードボックス、
  • ピン フィールド。

アップロード ボックスのファイルは、登録プロセス中にユーザーに電子メールで送信されます。

このファイルは、ランダム ビットの長いシーケンス (数キロバイトまたは数十キロバイト) です。このファイルは、多層方式で計算された SHA-512 のようなハッシュよりも、ピン値を使用してスクランブルされています。何度もハッシュを計算し、前の反復から最後に処理されたブロブにハッシュを追加またはプレフィックスします。

F(n) IS (
    IF n == 0 
    THEN HASH(SCRAMBLE(file, pin)) 
    ELSE HASH(IF n mod 2 == 0 THEN CONCAT(F(n-1), FILE) ELSE CONCAT(FILE, F(n-1)); 

ピンは登録時に画面に画像として表示されるため、このピンは画面にのみ表示されますが、プレーン テキストとしてユーザーに送信されることはありません。

これで十分安全ですか?コメントありがとうございます。

Web アプリの可能なコンテキストまたはタイプ: a) ビジネス Web サイト (サイト所有者に代わって支払い処理を行う)。b) 顧客専用のセクションにアクセスできるイントラネットまたは企業 Web サイト。

4

1 に答える 1

1

答えはノーだ。

大きなファイルは安全ではない電子メールで送信されます。さらに、ユーザーがログオンするたびにアップロードする必要があります。(a) これはまったく面倒なことです。(b) ほとんどのユーザーは、ファイルをコンピュータのディスクのどこかにぶら下げたままにします。セキュリティの比率 : ユーザーの不便さは非常に低いので、私はそうしません。

非常に安全である必要がある場合は、強力なパスワードに加えて、新しいコンピューターを使用するたびに要求する必要がある SMS メッセージなどの真の帯域外の使い捨てトークンを使用してください。パスワードと使い捨てトークンを使用して、何らかの方法 (デバイスの署名と何らかの IP アドレスなど) でマシンに関連付けられた、より大きなマシン固有の Cookie のダウンロードを承認し、out の使用を再度要求します。 -何かが一致しない場合は、バンドの SMS。

また、フィッシング対策もお忘れなく。

于 2013-10-05T00:47:47.200 に答える