0

我想知道这些是否是某种技术,以便将敏感数据保留在 Web 应用程序之外。我知道您永远不应该将敏感数据存储在本地存储或 cookie 中。

登录网站时,浏览器通常会询问它是否应该保留您的用户名和密码。它存储在哪里?它有多安全?还有最重要的问题,你可以使用javascript/浏览器内置函数访问它吗?

我的场景:我生成了一个 rsa 密钥对(我知道随机的 javascript 不是那么好)并且需要将我的私钥保存在浏览器的安全位置,所以在下一个会话中我可以访问它并解密一些数据.

提前致谢

4

1 回答 1

1

建议进行基本的威胁分析。它有助于识别哪些攻击向量考虑在内,然后您可以选择正确的方法来保护密钥。密钥保护有多种可能性。请参阅以下示例:

  • 您可以依赖浏览器原始策略并假设您的 JS 代码受信任并将密钥存储在本地存储中 - 密钥不受可以访问用户配置文件的对手的保护
  • 您可以让用户每次输入相当强的密码,然后需要访问私有密码并使用基于密码的加密存储密钥,然后加密的私有密钥可以存储在任何地方(本地存储,cookie) - 能够访问用户密码的对手能够拿到钥匙
  • 您可以通过结合用户密码和成功验证用户后服务器发送的一些秘密来创建私钥加密密钥 -
于 2013-08-04T10:49:08.140 回答