我想知道以下安全概念是否适合网络应用程序:
1)登录UI仅通过SSL提供。
2)登录界面包含3个字段:
上传文件框在注册过程中通过电子邮件发送给用户。
此文件是一个长序列(几千字节或几十千字节)的随机位。 这个文件使用引脚值进行加扰,而不是像多层方式计算的SHA-512这样的哈希值,就像这样 - 多次计算哈希值,将哈希值从前一次迭代追加到前一个或前缀为最后一次处理的blob。
F(n) IS (
IF n == 0
THEN HASH(SCRAMBLE(file, pin))
ELSE HASH(IF n mod 2 == 0 THEN CONCAT(F(n-1), FILE) ELSE CONCAT(FILE, F(n-1));
Pin在屏幕上注册时显示为图像,因此该引脚仅显示在屏幕上,但从未以纯文本形式传输给用户。
这足够安全吗? 感谢您的评论。
可能的网络应用的上下文或类型: a)商业网站(代表网站所有者进行付款处理)。 b)内部网或公司网站,可以访问客户的特殊部分。
答案 0 :(得分:1)
答案是否定的。
大文件是通过电子邮件发送的,这是不安全的。此外,您要求用户每次登录时都要上传; (a)后方总是疼痛,(b)大多数用户会把文件留在计算机磁盘的某处。安全性比例:用户不便非常低,我不会这样做。
如果您需要非常安全,请使用强密码和真正的带外,一次性令牌,例如他们每次使用新计算机时都需要请求的SMS消息。使用密码和一次性令牌授权下载更大的机器特定cookie,以某种方式绑定到他们的机器(例如设备签名加上某种IP地址),并重新使用out如果有任何不匹配的话,可以收听短信。
另外,不要忘记网络钓鱼缓解措施。