我正在編輯:移動網絡應用程序它顯示一些敏感信息,並需要一個登錄名將會員用戶名和密碼存儲在HTML5會話中。用戶名和密碼當前以未加密狀態存儲,原因是我們需要在每個頁面加載時使用此用戶名和密碼來訪問客戶端遠程Web服務。HTML5客戶端數據加密 - 我有什麼選擇?
編輯:安全審查後,我們的客戶提出了以下關注:
「有是會話存儲的信息會存儲在磁盤上(例如,在瀏覽器崩潰)的潛在爲此沒有任何敏感信息應在會話存儲器中以未加密方式存儲,因爲會話超時被實現,用戶ID和會話令牌可以被存儲,但不建議存儲密碼/ PIN。
加密和解密存儲在客戶端的敏感數據的最佳/最安全的方法是什麼?
謝謝!
安全反對什麼?客戶端攻擊?運送中的攻擊?答案會因此而大不相同。 – Piskvor 2011-05-12 09:42:25
@ Piskovar-客戶安全團隊的一名成員提出了一個特別的問題:「Session Storage信息可能存儲在磁盤上(例如,瀏覽器崩潰)。因此,不應該有敏感信息在會話存儲器中以未加密方式存儲,因爲會話超時已實現,所以可以存儲用戶ID和會話令牌,但不建議存儲密碼/ PIN。 – TGuimond 2011-05-12 09:45:19
啊哈,謝謝你的澄清。 – Piskvor 2011-05-12 09:46:20