問題タブ [sensitive-data]

私はこのページを見ています。このページでは、ローカルのAndroidプロジェクト（アセット内）でデータベースを使用して、このようにアプリケーション標準データベース（Androidによって管理され、データ内...）にデータを入力する方法を説明しています。このようにして、アセットデータベース内のすべてのデータをapkで自由に読み取ることができますよね？

データベースに個人情報や証明書がある場合、これはデータを保存するための良い方法ではありません。ビッグ情報データをアセットデータベースに保存し、個人データをres/xmlまたはres/valuesに保存する最良の方法は何ですか？個人データを保存するための推奨される方法はありますか？

この記事を見たばかりです重要なデータを隠す

上記のリンクに記載されているように、FTP接続文字列を保護するためにapp.configを使用することを考えていますが、誰かがftp接続文字列を何らかの方法で、コンパイルを解除するか、またはによって発見することは本当に不可能かどうか疑問に思っています。他のリバースエンジニアリングツールを使用する

ソフトウェアに含まれるデータは非常に機密性が高く、ユーザーと共有するべきではありません。誰かが私が正しい方法であるかどうか私を助けてくれませんか？

こんにちは、明らかにこれはコードに関する質問ではありません。私は PHP でのソルトと md5 暗号化に精通しています。しかし、機密情報を mysql に安全に保存する方法が必要です。md5 を使用するのは非常に簡単ですが、これも最も安全な方法ではありません。提案や例を教えてください。データベースに保存する必要があり、もちろん取得して読み取ることができます。最も簡単な方法は、私が探しているものです

私はインターネットで検索しましたが、結論には達しませんでした。
この機能は GUI では「自然」に感じられるため、この問題について何も見つからなかったにもかかわらず、ここで質問しています。
ノートブック ページの上部のウィジェットを非表示にすると、タブが消えることは既にわかっていますが、それは私が探しているものではありません。私が本当に望んでいたのは、gtk_widget_set_sensitive(GTK_WIDGET(notebook_tab), false);
ありがとうのように、タブが敏感にならないようにすることでした。

そこで私は、人事部門が元従業員の記録を保存および検索するために必要とする補助的な Web ベースのシステムに取り組んでいます。私はこの要件に抵抗しましたが、最終的には、システムは完全な SSN による検索と、完全な SSN の取得の両方を可能にする必要があると言い渡されました。私の抗議はさておき、このデータを保護するためにいくつかの措置を講じることは、実際に彼らが現在行っていることよりも大幅に改善されます (知りたくありません)。

私は多くの調査を行っており、合理的な計画を思いついたと思いますが、暗号化/セキュリティ関連のすべてのものと同様に、非常に多くの複雑さがあり、間違いを犯しやすい. 私のおおまかな計画は次のとおりです。

1. アプリケーションの初回実行時に、RijndaelManaged を使用して大きなランダム ソルトと 128 ビット AES キーを生成します。
2. 緊急時の復旧のために、これらの両方をプレーンテキスト ファイルに書き出します。このファイルは、安全な物理的な場所にオフラインで保存されます。アプリケーションはファイルの存在をチェックし、ファイルがまだ存在する場合は警告を発します。
3. ソルトと鍵はどこかに安全に保管してください。これは私が素晴らしい答えを持っていない部分です。私は DPAPI を使用することを計画していましたが、最終的にどれだけ安全かはわかりません。プレーンテキストのままにして、保存されているディレクトリへのファイルシステムアクセスを制限する方がよいでしょうか?
4. データベースにレコードを書き込むときは、上記の大きなソルト値とともに SSN をハッシュして、検索可能なフィールドを生成します (ただし、可能性のあるすべての SSN をソルトおよびブルート フォースで取得しないと回復できません)。AES は生の SSN 値を新しい IV (一緒に保存) を使用して、(キー/iv を使用して) 取得可能であるが検索可能ではないフィールドを生成します (同じ SSN を 2 回暗号化すると、異なる出力が生成されるため)。
5. 検索するときは、検索値を同じソルトでハッシュしてDBで検索するだけです
6. 取得するときは、AESキー/ivを使用してDBから値を復号化します

鍵を比較的安全な方法 (上記の 3) で保管する必要があることを除けば、それで十分なようです。

私たちにとってうまくいかないこと：

• 「これをしないでください」という選択肢はありません。これを行う必要があり、それを行わないと、a) 私たちに腹を立て、b) 電子メールですべての数値をプレーンテキスト ドキュメントで渡すだけになります。

これは私たちのネットワークの内部でのみ行われるため、少なくともここで実装されているものの上にその保護レイヤーがあります. また、アプリケーション自体へのアクセスは Active Directory によって制御されます。

読んでくれてありがとう、そしてアドバイスをくれてありがとう。

更新 #1: コメントから、SSN 取得フィールドに非公開の IV を保持する意味がないことに気付きました。各レコードに対して新しい IV を適切に生成し、暗号化された値と一緒に保存するように計画を更新しました。

更新 #2: できないことのリストからハードウェアのことを削除します。少し調べてみたところ、思ったよりアクセスしやすいようです。これらの USB セキュリティ トークンの 1 つを利用することで、キー ストレージに意味のあるセキュリティが追加されますか?

私は現在、ユーザーが重要な日付を保存できるようにするアプリケーションに取り組んでいます。これは、永続化のために使用NodeJSしている Web アプリケーションであるためです。MongoDB（ところで、私はNodeとNoSQLをまったく初めて使用します）

ある種の病歴を保存できるユーザーがいます。名前と電子メールはユーザー ドキュメント内に保存され、その他のものはプロファイル内に保存されます。セキュリティを向上させるためにencrypt、ユーザーからプロファイルへの参照、およびその逆の参照を希望します。

現時点では、のCryptoライブラリを使用して、ユーザー プロファイル内の参照NodeJSを暗号化 (AES256) しています。user_id結果として、参照はもはや ObjectID の型ではなく、文字列です

そのため、データベースを直接表示しても、どのプロファイルがどのユーザーに属しているかを確認することはできません。秘密鍵encryptとdecryptユーザー ID は、サーバーの js ファイルのどこかに保存されNodeJSます。

これは一般的/良い方法ですか、それとも私は何か完全に間違っていますか? より良い方法はありますか – mongoDB は「組み込みの暗号化」をサポートしていないことを読みました

少なくとも、ここに暗号化/復号化のコードがあります

};

一般的なルーティング番号と米国に拠点を置く銀行名の配列をグーグル検索すると、スパム サイトの全リストが表示されます。そのような配列、またはルーティング番号の解析を処理する javascript/jquery プラグインを見つけることができる場所を教えてもらえますか?

OAuth プロトコル中にルーティング番号を渡すと、Stripe は銀行名を教えてくれるので、 Stripeには少なくともこのリストが必要です。

このリストを取得できない場合、Stripe には特別なクリアランス (?) が必要だと思いますが、これらの番号は各銀行を使用するすべての人にとって同じであるため、奇妙に思えます。

とにかく、ここで情報が不足していることはどうしたのですか？