假设您有一个服务器-客户端应用程序。
服务器保存属于客户端的敏感信息。服务器会在客户端的敏感信息中搜索一些参数。因此,服务器应暂时使用客户端控制对敏感信息进行解码。但是服务器不应该通过自行破解密钥来泄露密钥。我的意思是开发人员不应该尝试更改服务器 sidde 代码,也不应该提取客户端密钥。
真的有办法吗?客户端允许服务器解码敏感信息,但密钥立即消失,开发人员没有任何技巧可以泄露此密码?
答案如果存在,也适用于理想的安全云应用程序。开发人员或云托管公司不应访问解密信息。
我并不乐观,但值得一试。
问问题
82 次
2 回答
1
所以一句话不。这不会授予任何安全性,因为您不能信任客户端。你甚至说服务器会暂时由客户端控制,这通常不是一个明智的做法。另外,不要小看无聊的开发人员,编写一些代码并破解密钥是完全可行的。这里的关键是记住,如果有人可以访问这个盒子,它就不再是你的盒子了。
于 2012-12-17T17:27:14.930 回答
0
通常,任何客户端访问服务器上的敏感信息都必须要求对客户端进行身份验证,以便您可以验证客户端是否正是他声称的那个人。认证通常涉及发送密码或某种认证令牌(例如,加密的共享秘密),服务器通过安全通道将其提供给客户端。
正如已经多次说过的那样,在很多方面,允许客户端在没有适当和充分身份验证的情况下访问服务器数据意味着您放弃了对服务器的控制。
于 2012-12-17T19:42:37.970 回答