-2

我想知道以下安全概念是否适用于 Web 应用程序:

1) 登录 UI 只能通过 SSL 获得。

2) 登录 UI 包含 3 个字段:

  • 项目清单
  • 用户名,
  • 文件上传框,
  • 引脚字段。

上传框的文件在注册过程中通过电子邮件发送给用户

该文件是一个长序列(几千字节或几十千字节)的随机位。该文件使用 pin 值进行加扰,而不是像 SHA-512 那样以多层方式计算的哈希值,就像这样 - 多次计算哈希值,将先前迭代的哈希值附加或添加到最后处理的 blob。

F(n) IS (
    IF n == 0 
    THEN HASH(SCRAMBLE(file, pin)) 
    ELSE HASH(IF n mod 2 == 0 THEN CONCAT(F(n-1), FILE) ELSE CONCAT(FILE, F(n-1));

Pin 在注册过程中以图像的形式显示在屏幕上,因此该 Pin 仅显示在屏幕上,而不会以纯文本形式传输给用户。

这足够安全吗?感谢您的评论。

Web 应用程序的可能上下文或类型:a) 商业网站(代表网站所有者进行付款处理)。b) 可访问客户特殊部分的内部网或公司网站。

4

1 回答 1

1

答案是不。

大文件是通过不安全的电子邮件发送的。此外,您还要求用户在每次登录时上传;(a)这对后部来说是一种完全的痛苦,并且(b)大多数用户会将文件留在他们计算机磁盘上的某个地方。安全性:用户不便的比率极低,我不会这样做。

如果您需要非常安全,请使用强密码和真正的带外一次性令牌,例如他们每次使用新计算机时都需要请求的 SMS 消息。使用密码和一次性令牌授权下载以某种方式(例如设备签名加上某种 IP 地址)绑定到其机器的更大机器特定 cookie,并重新要求使用 out -of-band SMS 如果有任何不匹配。

此外,不要忘记网络钓鱼缓解措施。

于 2013-10-05T00:47:47.200 回答