答えは、クライアント側のWEBSQLデータベースに暗号化されていないパスワードを保存することは安全ではないということだと思いますが、とにかく尋ねると思いました。私が尋ねている理由は、ドロップボックスアップロードツールをWeb アプリですが、ユーザーの Dropbox アカウントにアクセスするにはパスワードをプレーン テキストで入力する必要があります。クライアント側でパスワードをハッシュし、必要に応じてハッシュを解除する foobar の方法を考え出すことはできますが、ハッシュを解除できる場合誰でも同様に行うことができますが、その場合の回避策はありますか?
2 に答える
2
100% 安全または安全というものはありません。セキュリティの目標は、十分に安全であることです。何がリスクで、どれくらいの痛みを経験してスイートスポットを見つけたいかを判断します。
暗号からプレーンテキストを取得する必要がある場合は、ハッシュではなく暗号化を使用するしかありません。もちろん、ユーザーが入力したか、どこかに保存したかどうかに関係なく、キーをどこかに持っている必要があるため、キーは脆弱です。
これはクライアント コンピューター上にあるため、フィッシング攻撃、ソーシャル エンジニアリング攻撃、トロイの木馬/キーロガー/ウイルス攻撃、物理的なセキュリティ リスクなどに対して脆弱である可能性があります。
平文を保存するのは悪い考えですが、それ以外に、ユーザーがどの程度の苦痛を経験するかを決定する必要があります。
PKI トークンは、コストに見合う価値がある場合に適したオプションです。それ以外の場合、ほとんどの言語には、効果的に使用できるさまざまな暗号化アルゴリズムが多数あります。
于 2011-06-25T03:16:18.630 に答える
2
いいえ、平文のパスワードを保存するのは安全ではありません。
ユーザーがパスワードを使用して Web アプリにログインすると仮定すると、そのパスワードを使用して (ソルト化された) ドロップボックス パスワードを暗号化してみませんか? セキュリティの観点からはまだ満足のいくものではありませんが、何もないよりはましです。
同じ段落で「foobar」と「dropbox」という言葉を使用することは、自家製のソリューションでトラブルを求めていることを明確に示しています。ユーザーに、ドロップボックス データのセキュリティに関してあなたを信頼するように求めています。つまり、非常に多くの責任を負うことになります。また、セキュリティの基本法則の 1 つに違反するようユーザーに求めていることにもなります。セキュリティを第三者に任せてはいけません。
私が提供できる最善のアドバイスは、セキュリティ関連のすべてのタスクを専門家に委任し、そのコードを別の専門家に監査してもらうことです。
于 2011-06-25T03:17:15.647 に答える