HTML5を使用してモバイルWebアプリを実行しています。私の問題は、HTML5アプリケーションキャッシュによってキャッシュされた「ログイン後」のページが、私が理解していることから、依然として安全ではないということです。解決策はありますか?ユーザー/パスと「ログイン後」のページを侵入者から隠すオフライン認証を確実にするための最良の方法は何ですか?
1119 次
1 に答える
1
マニフェストオプション( http://diveintohtml5.info/offline.html )を介してローカルストレージのHTML5の使用法を調べ始めたところですが、これもプライバシーとセキュリティの両方の懸念事項です。2つのことが頭に浮かびました:EzncryptとWebストレージに関する編集者のドラフト(プライバシーとセキュリティ)、以下の両方へのリンク...
これが「最良の」答えになるかどうかはわかりませんが、何もないよりはましだと考えました。結局、この質問を2012年2月2日に投稿し、他の誰も何も提供していません。
警告(ezNcrypt):Linuxで動作します。30日間の試用版の商用製品です。私は彼らと提携していないため、正直なところコストはわかりません。地元の交流会、LAPHP、LAMySQL、LAWebspeedで何をしているのか聞いたばかりです。年、そしてそれは将来の参考のために注意するのに十分に面白そうに聞こえました。透過的な暗号化は巨大になります。
リンクを取得するためのGoogleEzncrypt製品、ここでは2つに制限されています。
それがあなたや他の人にとって「正しい」解決策ではない場合でも、おそらくそれはあなたをより多くを見つけるためのいくつかのまともな検索用語で良い方向に向けるでしょう。
暗号化がアプリケーション/データレイヤーの下で「透過的に」処理される場合、ユーザーのIT知識に関係なく機能します。
連絡先情報を共有したい場合は、FTP、NoSQL、SQLなどの4つのケーススタディを含むこのPDFファイルを無料で入手できます。
コミッションが必要です、笑。それが解決策を見つけるのに役立つなら、それが重要です。
あなたの決定が何であれ、あなたがあなたのiを点在させ、あなたのT、特にセクション6プライバシーと7セキュリティを横切るためにあなたが編集者の草案、プライバシーとセキュリティを通過することを確認してください。
http://dev.w3.org/html5/webstorage/#the-localstorage-attribute
別のことを考えただけで、チェックリスト(チートシート)へのURLを提供する以外は調べませんでしたが、OWASPには何かにつながる可能性のある1つまたは2つのチェックリストがあると思います。デバイスを小さなデスクトップ/サーバーと考えて、それらのいずれかが当てはまるかどうかを確認してください。私のNokiaN800が壊れたのは残念なことですが、2006年頃の本格的なLinuxコンピューターと2012年頃の新しいLinuxハンドヘルドははるかに強力です。交換可能なストレージを備えたデバイスでフットプリントの小さいLinuxディストリビューションを使用するだけで(MicroSSDカードは機能します...Nokia N800には2006年に2つのスロットがありました)、ローカルに保存してオフラインで実行できるものに制限はありません。OWASPチェックリストへのURLは次のとおりです。
申し訳ありませんが、2つのリンク、グーグルOWASPチートシートに限定されており、それらを見つけることができます。
ハンドヘルドが本当に「スマート」である場合は、デバイスおよび基盤となるオペレーティングシステム/ファイルシステムへのルート(管理者)アクセス権があります。すべてのオペレーティングシステムには、データをその場で暗号化する方法がありますが、それらを利用するにはアクセス権が必要です。このアクセスを許可しないデバイス(通常は独自の理由で、ほとんどの場合、6か月から1年で新しいデバイスを購入するように強制する)は、間違った理由で人為的にオプションを制限しており、単にスマートではありません。Android(Linux)のすべてのバージョンがオープンでルート化できるわけではないことを忘れないでください。宿題をしてください。そうしないと、近い将来、高価なペーパーウェイトになってしまいます。
ルート/管理者アクセスを許可するスマートハンドヘルドのみを購入することをお勧めします。
于 2012-04-25T01:17:25.943 に答える