-2

このユース ケースでは、サーバーは暗号化された BLOB をブラウザーに送信し、ブラウザーの JavaScript はサーバーに復号化キーを要求し、BLOB を復号化して使用可能なコンテンツにします。

ブラウザでこのキーをブックマークレットやブラウザ プラグインによる攻撃、またはブラウザで JavaScript デバッガをステップ実行するユーザーから保護する方法はありますか? または、少なくとも攻撃者にとって少し難しい問題にします。

編集 : 問題のコンテキストは、EME 仕様で指定されている HTML ビデオ DRM です。この標準の一部であり、WideVine や FairPlay などのクローズド ソース プラグインを必要としない ClearKey API があります。しかし、複数の回答が指摘しているように、ClearKey は保護できません。(残念ながら、これは独自の DRM プラグインを使用することを意味します)。

4

2 に答える 2

6

それができないことに同意します。非対称暗号化でそれを行うことができます。しかし、私はあなたがそれをしている理由に戻ります-接続がSSL暗号化されていた場合、それを行う理由はありません.

于 2015-02-26T21:54:15.370 に答える
6

クライアントに到達したデータのセキュリティを保証することはできません。

これを行う方法はありません。クライアントがこれを受信すると、特に復号化キーも受信した場合、クライアントは内部のすべてのシークレットに完全にアクセスできます。

非常に単純なスケールでは、ブレークポイントをドロップするかprints、javascript コンソールに配置するだけです。より高度になりたい場合は、wireshark などのツールを使用して、データがネットワーク経由で送信されるのを確認できます。

復号化されず、強力に暗号化された暗号化されたデータを送信する場合は、それほど悪くはありません。しかし、彼らの側でそれを解読するつもりがないなら、何のためにそれを送るのですか?

于 2015-02-26T21:48:59.773 に答える