Ada*_*dam 0 javascript security
这是一个安全性最佳实践,我想知道我是否应该浪费我的时间.
与蓝光电影格式的最初破解一样,黑客只是检查了玩家的记忆,以窥探一个关键值.
似乎可以用浏览器内存做同样的事情,并查看javascript解释器设置的值 - 那么我应该加密内存中的数据吗?
想一想 - 它最终是疯了,如果我的浏览器在屏幕上显示敏感数据,那么b/c可以想象这段数据在内存中并且可以被窥探.因此,如果我在某处加密javascript中的相同数据,那就不重要了.
我很难向上级解释为什么我们不应该达到这种安全水平......
真的,如果你关心浏览器中的某些数据,那么它就不应该存在.当数据传送到客户端时,您可以认为它已被泄露,因为您无法确保其安全.其他人提出了一个很好的观点,即您将加密信息发送给客户端,但您将无法对其进行任何操作,因为您必须对其进行解密才能向最终用户显示.这就是为什么如果你看一下银行的规定,它们就不会在浏览器上显示任何个人信息(SSN等),除非它是由用户专门输入的(键入然后发回).