تشفير البيانات من المستخدمين في تطبيقات الويب
https://stackoverflow.com/questions/39772
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
بعض تطبيقات الويب مثل Google Docs, تخزين البيانات التي تم إنشاؤها من قبل المستخدمين.البيانات التي يمكن قراءتها إلا من قبل صاحبها.أو ربما لا ؟
بقدر ما أعرف, يتم تخزين هذه البيانات في قاعدة بيانات عن بعد.لذا, إذا كان أي شخص مع امتيازات كافية في النظام البعيد (مسؤول النظام ، على سبيل المثال) يمكن كامنة البيانات الخاصة بي ، خصوصيتي يمكن الحصول على اختراق.
ماذا يمكن أن يكون أفضل حل لتخزين هذه البيانات مشفرة في قاعدة البيانات البعيدة فقط البيانات مالك يمكن فك تشفير ؟ كيفية جعل هذه العملية شفافة للمستخدم ؟ (لا يمكنك استخدام كلمة مرور المستخدم كمفتاح تشفير بياناته ، لأنه لا يجب أن تعرف كلمة المرور).
المحلول
إذا التشفير/فك التشفير يتم على الملقم, لا توجد وسيلة يمكنك التأكد من أن نص واضح لا ملقاة في مكان ما في ملف سجل أو ما شابه ذلك.
تحتاج إلى القيام التشفير/فك التشفير داخل المتصفح باستخدام جافا سكريبت/Java/ActiveX أو أيا كان.كمستخدم, تحتاج إلى ثقة العميل من خدمة ويب لا يرسلون معلومات مشفرة إلى الملقم.
كارل
نصائح أخرى
أعتقد أن كارل ، مسمر على رأسه ، ولكن أردت أن أقول هذا مع أي موقع على شبكة الإنترنت, إذا كنت تقدم أي سرية/الشخصية/معلومات سرية ثم يجب أن يكون لديك مستوى معين من الثقة ، بل هي مسؤولية مزود الخدمة إنشاء هذه الثقة.هذا هو واحد من تلك الأسئلة التي تم طلب عدة مرات عبر الإنترنت منذ بدايتها ، وسوف تستمر في النمو حتى نحن جميعا لدينا SSL موتس المشفرة على بصمات الأصابع ، وحتى ذلك الحين علينا أن نطرح هذا السؤال: كيف أعرف أن الأصابع لا تزال تعلق على المستخدم؟'.
حسنا سأفكر في عملية مماثلة أمازون AWS.يمكنك إجراء مصادقة كلمة المرور الخاصة التي لم يتم حفظها بعد.فقط تجزئة المستخدمة في التحقق من صحة المستخدم.ثم يمكنك إنشاء شهادة مع واحدة من أهم طويلة-اختبار الخوارزميات و تقديم هذا من صفحة آمنة.ثم المفتاح العام/الخاص خوارزمية يمكن استخدامها لتشفير الأشياء للمستخدمين.
ولكن المشكلة الرئيسية لا يزال هو نفسه:إذا كان شخص ما مع امتيازات كافية يمكن الوصول إلى البيانات (أقول:اختراق الخادم الخاص بك) ، كنت فقدت.إعطاء ما يكفي من الوقت والطاقة ، كل شيء يمكن أن يكون breaked.انها مجرد مسألة وقت.
ولكن أعتقد الخوارزميات والتطبيقات مثل GPG/PGP مماثلة معروفة جدا و يمكن تنفيذها بطريقة آمنة تطبيقات الويب و تبقى قابليتها على النتيجة التي يمكن للمستخدم العادي التعامل معها.
تحرير أريد اللحاق @كارل و Unkwntech وأضف البيان:إذا كنت لا تثق في الموقع نفسه ، لا تعطي البيانات الخاصة بعيدا.هذا حتى قبل شخص الخارقة أجهزتهم...;-)
أورو سأل:كيف يمكنك إنشاء مفتاح العميل لتشفير/فك تشفير البيانات ؟ حيث يمكنك تخزين هذا المفتاح ؟
على عادة مشتقة من كلمة مرور المستخدم قد اختار.لا تخزينه هل تثق المستخدم أن نتذكر ذلك.ما يمكنك تخزين ربما بعض الملح القيمة المرتبطة المستخدم لزيادة الأمن ضد قوس قزح-الجدول الهجمات على سبيل المثال.
التشفير هو من الصعب الحصول على حق ;-) أنصح أن ننظر إلى رمز المصدر AxCrypt و Xecrets'خارج الخط العميل.
كارل
لا, لا يمكنك استخدام كلمات السر, ولكن هل يمكن استخدام التجزئة كلمة المرور.ومع ذلك, مستندات جوجل هي كل شيء عن تقاسم مثل هذه الطريقة تتطلب تخزين نسخة من الوثيقة لكل مستخدم.
