Bảo mật DB Web HTML5

Question

Tôi đang xem xét giải pháp ứng dụng web ngoại tuyến bằng HTML5. Chức năng là mọi thứ tôi cần NHƯNG dữ liệu được lưu trữ có thể được truy vấn trực tiếp ngay trong trình duyệt và do đó hoàn toàn không an toàn!

Có cách nào để mã hóa/ẩn để dữ liệu được bảo mật không?

Cảm ơn, D.

Answer 1

Có hai mối quan tâm để lưu trữ địa phương trong HTML5 -

1. Một trang web đọc ẩn dữ liệu mà một trang web khác đã được lưu trữ trong trình duyệt người dùng
2. cuối Một người sử dụng truy vấn dữ liệu ngoại tuyến trên trang web của bạn trực tiếp

Đối với 1, trình duyệt thực thi các hạn chế cùng miền với localStorage (hoặc sqllit hỗ trợ cơ sở dữ liệu điện tử mà safari có), vì vậy các trang web khác sẽ không có quyền truy cập vào dữ liệu mà bạn lưu trữ. Tuy nhiên, hãy nhớ rằng nếu trang web của bạn có lỗ hổng XSS, nó sẽ có thể ăn cắp dữ liệu.

Đối với 2, bạn không thể ngăn điều đó. Nó giống như một cookie - người dùng có thể chọn xem/xóa/sửa đổi nó.

Mã hóa dữ liệu là có thể (xem http://farfarfar.com/scripts/encrypt/), nhưng vô nghĩa. Bạn không thể có một khóa/mật khẩu chung duy nhất - vì kẻ tấn công có thể dễ dàng tìm ra khóa từ mã javascript. Sử dụng mật khẩu do người dùng nhập để mã hóa/giải mã là có thể, nhưng các thư viện mã hóa phía máy khách không đủ trưởng thành hoặc được thử nghiệm đủ tốt. Có khả năng tấn cách để phá vỡ nó.

Vì vậy, hiện tại ít nhất, không lưu trữ dữ liệu nhạy cảm trong localStorage.

Answer 2

Nếu bạn đang lưu trữ dữ liệu trên máy tính của người dùng, người dùng luôn có thể đọc nó, dù có bao nhiêu bạn mã hóa nó [giả sử bạn không sử dụng một băm ...]

dữ liệu nhạy cảm tiếp tục phía máy chủ, luôn luôn.

Answer 3

Bạn cũng có thể thấy một article on this concern bởi tác giả của HTML5 SecureStore Porposal