我在一家Web开发公司工作,当应用程序未连接到Internet时负责保护应用程序或任何其他内容的安全,这意味着HTTPS不适用标准登录协议。
我为个人服务的公司本身在互联网连接不好的情况下申请“在路上”。出于每个人都可以理解的原因,用户必须能够“锁定”应用程序,并且还必须能够解锁。最好使用他们用于在线时登录的密码(当与Web服务器在线时,它们会获得一个安全的cookie进行身份验证)。
现在,我需要一种方法来检查密码,而又不会让黑客轻易地查看websql/indexdb/local存储并在那里找到它。将其存储为简单的哈希值很容易被黑客入侵。
我曾想过将其存储为盐,但是被黑客入侵只是时间问题,还考虑了哈希部分密码(例如最后4个字符)和盐。万一它确实变成彩虹,他们只会解锁应用程序而没有密码。
我似乎找不到真正和/或标准化的方法来保护离线HTML5应用程序。但是,有没有最佳实践呢?
另一个问题是脱机存储本身中数据的安全性,以便只有应用程序才能读取它。我可以想出使数据“不可读”的方法,但是我可以想出的所有方法来安全地存储记录,我还可以想出一种方法来破解它。因此,也欢迎在该领域提供任何建议。