我正在使用HTML5进行移动WebApp。我的问题是HTML5应用程序缓存缓存的“登录后”页面,据我所知,仍然不安全。有解决方案吗?确保离线身份验证隐藏入侵者的用户/通行证和“登录后”页面的最佳方法是什么?
答案 0 :(得分:1)
我刚刚开始通过Manifest选项(http://diveintohtml5.info/offline.html)深入研究HTML5对本地存储的使用,这对我来说也是一个关注隐私和安全问题。我想到了两件事:Ezncrypt和编辑关于网络存储(隐私和安全)的草案,链接到下面两个......
虽然我不知道这是否是“最佳”答案,但我认为任何事情都会好于没事,毕竟你在2012年2月2日发布了这个问题并没有其他任何人提供任何东西。
警告(ezNcrypt): 它适用于Linux 它是一个30天试用的商业产品,老实说不知道成本,因为我与他们没有关系,只是听说他们去年通过本地聚会,LAPHP,LAMySQL或者LAWebspeed做了什么,听起来很有意思备查。透明加密将是巨大的。
谷歌Ezncrypt产品得到一个链接,我在这里仅限于两个。即使它不是适合您或其他人的“正确”解决方案,也许它会指出您使用一些不错的搜索术语来找到更多信息。
如果加密是在应用程序/数据层下面“透明地”处理的,那么无论用户的IT知识如何,它都能正常工作。
如果您愿意与他们分享一些联系信息,您将获得此PDF文件,其中包含4个案例研究,FTP,NoSQL,SQL等等......它是免费的。
我应该收到佣金,哈哈。嘿,如果它能帮助我们找到解决方案,那就重要了。
无论您的决定是什么,都要确保通过编辑的草稿,隐私和安全性来点缀您的信息并交叉您的T,尤其是第6部分隐私和7安全。
http://dev.w3.org/html5/webstorage/#the-localstorage-attribute
想到另一个,除了为他们的清单(备忘单)提供一个URL之外,我没有看,但我的猜测是OWASP会有一两个可能引导你做某些事情的清单。只需将您的设备视为一个小桌面/服务器,看看是否有任何适用。糟糕的是我的诺基亚N800打破了我的局面,大约在2006年我手中的Linux电脑全面爆炸,2012年的新Linux手持设备功能强大得多。只需在具有可交换存储的设备上使用占用空间小的Linux发行版(微型SSD卡可以工作......诺基亚N800在2006年有两个插槽),并且您可以在本地存储和脱机运行的内容没有限制。以下是OWASP核对清单的URL:
抱歉,仅限两个链接,谷歌OWASP cheet表,你会发现它们。
如果掌上电脑真正“智能”,您将拥有对设备和底层操作系统/文件系统的root(管理员)访问权限。每个操作系统都有方法即时加密数据,但您必须有权使用它们。一种不能为您提供此访问权限的设备(通常是出于专有原因,通常是强迫您在6至1年内购买新设备)会因为错误的原因而人为地限制您的选择并且根本不聪明。请记住,所有版本的Android(Linux)都不是开放的和可以根除的,所以做完作业或者在不久的将来你最终会得到昂贵的纸张重量。
我建议只购买允许root / admin访问的智能手持设备。