在我公司控制下的网络服务器中存储信用卡信息会产生严重的安全风险。这是一种闯入的动机。它迫使我们非常谨慎地保护对我们数据库的访问。这是一种法律责任。
显然,这对于从一个会话到另一个会话的同一浏览器的用户才真正有用,因此会有用户体验。
将此信息放在HTML5本地存储中是否会提高安全性?
答案 0 :(得分:3)
<强>可能强>
通过将信用卡详细信息存储在个人计算机上,可以降低单个服务器(或“系统”)成功破解导致许多(数百/数千)用户受到攻击的信用详细信息的可能性。一个理想的解决方案会带来类似(或更低)的风险,如在服务器上存储东西,但分布攻击面,从而大大减少影响。
以下是建议方法的摘要(我完全将其作为SO问题HERE提出,但尚未发布“poo-poos”):
通过HTTPS从服务器检索加密密钥。
使用它(在javascript中)在用户输入的同时加密本地存储中的信用卡详细信息。
当用户离开页面时,将钥匙扔掉。
如果用户稍后返回,他们可以从服务器检索相同的密钥,以及用于缓存未来详细信息的新密钥(以避免一次又一次地使用相同的密钥)。 / p>
服务器不必保留信用卡详细信息的副本,黑客需要获得一定程度的访问权限,以便他们无论如何都能看到用户在页面上输入的详细信息。
答案 1 :(得分:1)
否强>
因为那时任何人都可以来电脑获取未加密的信用卡信息。本地存储未在计算机上加密。将其加密存储在安全的服务器上是一个更好的选择(即使有法律问题)。
但最好的选择是不要存储它。这减少了每个人的法律和财务问题。如果人们对用户体验感到不满,请向他们解释不存储他们的信用卡号码是为了保护他们。