ova*_*ijk 5 security encryption html5 offline
我在一家Web开发公司工作,当应用程序未连接到Internet时负责保护应用程序或任何其他内容的安全,这意味着HTTPS不适用标准登录协议。
我为个人服务的公司本身在互联网连接不好的情况下申请“在路上”。出于每个人都可以理解的原因,用户必须能够“锁定”应用程序,并且还必须能够解锁。最好使用他们用于在线时登录的密码(当与Web服务器在线时,它们会获得一个安全的cookie进行身份验证)。
现在,我需要一种方法来检查密码,而又不会让黑客轻易地查看websql/indexdb/local存储并在那里找到它。将其存储为简单的哈希值很容易被黑客入侵。
我曾想过将其存储为盐,但是被黑客入侵只是时间问题,还考虑了哈希部分密码(例如最后4个字符)和盐。万一它确实变成彩虹,他们只会解锁应用程序而没有密码。
我似乎找不到真正和/或标准化的方法来保护离线HTML5应用程序。但是,有没有最佳实践呢?
另一个问题是脱机存储本身中数据的安全性,以便只有应用程序才能读取它。我可以想出使数据“不可读”的方法,但是我可以想出的所有方法来安全地存储记录,我还可以想出一种方法来破解它。因此,也欢迎在该领域提供任何建议。
就像ovanwijk建议的那样:我认为只存储(加盐)哈希就足够公平了。对于要解锁屏幕的用户来说,他/她明确输入的密码短语将被哈希处理,并且必须与存储哈希值匹配。这可以用来加密数据。幸运的是,斯坦福大学为 JavaScript 提供了一个非常好的加密库: http: //crypto.stanford.edu/sjcl
遗憾的是,在浏览器中,没有一个安全的地方可供网站访问,但其他人无法访问。想一想:如果有一个地方可以打开调试工具并注入一些代码来访问它。由于 JS 安全性只是一个研究问题,所以这个问题没有标准的解决方案......
| 归档时间: |
|
| 查看次数: |
1052 次 |
| 最近记录: |