私のWebアプリケーションでは、JavaKeyStoreに格納されている秘密鍵にアクセスします。KeyStoreと秘密鍵のパスワードを保存するための最良の/推奨される方法を知りたいのですが。
プロパティファイルの使用を検討しましたが、実稼働環境での使用にはあまり安全ではないようです(パスワードをプレーンテキストファイルに保存する)。また、私のコードにパスワードをハードコーディングすることは、私が喜んで受け入れるオプションではありません。
ありがとう。
6872 次
2 に答える
9
これはトリッキーなブートストラップ問題です。いくつかのオプション:
キーストアのロックを解除するようにアプリにプロンプトを表示させます(あまり友好的ではありませんが、可能です)
- パスワードを所有者の読み取り専用ファイル(0400)に保存し、それを使用してキーストアのロックを解除します。攻撃者はファイルを読み取るためにサーバーに侵入する必要があります。これは最も広く使用されている手法のようです
- HSMを使用する
- Hashicorp Vaultのようなものを使用します(ただし、ブートストラップの問題もあります)。
于 2016-09-13T18:02:04.877 に答える
-7
あなたが言及するように、プロパティファイルを使用することができます。追加のセキュリティのためにパスワードをハッシュするだけで、パスワードをハッシュします。これにより、パスワードをプレーンテキストで保持する必要があるという問題が回避されます。次に、MD5またはSHA1パスワードを使用して、個人的に選択してハッシュすることができます。
于 2010-06-14T15:59:49.200 に答える