the*_*mer 5 .net c# asp.net web-services web
我正在使用asp.net 4.我想知道缓存敏感数据是否安全?在安全方面或任何其他安全问题方面是危险的吗?
嗯,是。天生地抓住某样东西意味着不应该得到它的人更有可能得到它。如果它是敏感的,那么它就是新引入的危险。
两个相关问题是:
缓存在内存中的东西不太可能被泄漏,但这是有可能的。
缓存在内存中并可通过会话或 cookie 访问的内容更有可能被泄露(分别劫持会话或 cookie)。
数据库中缓存的内容更有可能被泄露(窃取文件比窃取内存转储更容易)。
以现实世界为例,具有“记住我”选项的网站。这个是这样的,大多数社交网站也是如此。这增加了有人获取冒充您所需的数据的风险,但更糟糕的是,这可能意味着他们会四处发送垃圾邮件,直到您的帐户被禁止 - 这很烦人,但不是世界末日。
大多数银行网站没有“记住我”选项。泄露的风险同样低(如果他们坚持在某些操作之前确认的话,确实会更低),但等效数据的价值要高得多,风险不再可接受。
编辑:在我给出的示例中需要注意的一件重要事情。“记住您”的网站通过以某种方式记住您已登录,而不是记住您登录所需的用户/密码(像这样使用 OpenID 的网站甚至看不到用户/密码)。如果您记住了用户/通行证,那么您将面临泄漏许多站点中使用的用户/通行证的风险,而不是冒着让某人仅登录您的站点的风险,因此风险又要高得多。
| 归档时间: |
|
| 查看次数: |
1443 次 |
| 最近记录: |