问题标签 [sensitive-data]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
722 浏览

android - Android Assets 数据库安全问题?

我正在查看这个页面,它解释了如何在本地 Android 项目(在 Assets 中)使用数据库来填充应用程序标准数据库(由 Android 管理,在 data/...中),如下所示。这样,资产数据库中的所有数据都可以在apk中自由读取,对吧?

如果数据库中有个人信息或证书,这不是存储数据的好方法。将大信息数据存储在资产数据库中并将个人数据存储在 res/xml 或 res/values 中的最佳方式是什么?是否有推荐的方式来存储个人数据?

0 投票
1 回答
136 浏览

c# - 受保护的连接字符串真的不可能有人读取吗?

我刚刚看到这篇文章隐藏重要数据

我正在考虑使用 app.config 来保护我的 FTP 连接字符串,如上面链接中所述,但我想知道是否真的不可能有人通过反编译或通过反编译或通过某种方式发现 ftp 连接字符串使用其他逆向工程工具

软件中包含的数据非常敏感,不应该与用户共享,有人可以帮我看看我的方法是否正确吗?

0 投票
2 回答
3513 浏览

php - 存储敏感数据的最佳方法php加密

您好,显然这不是代码问题,我非常熟悉 php 中的 salt 和 md5 加密。但我需要一种安全的方式将敏感信息存储在 mysql 中。使用 md5 非常简单,但又不是最安全的方法。请问有什么建议或例子吗?它需要存储在db中,当然也有可能被检索和读取。最简单的方法就是我要找的

0 投票
2 回答
1022 浏览

user-interface - 是否可以在 GTK+ 2.24 中禁用 GtkNotebook 选项卡(如 set_sensitive(*tab*, false))?

我在互联网上搜索过,但没有得出任何结论。
此功能在 GUI 中感觉“自然”,这就是为什么我在这里询问的原因,尽管在此问题上一无所获。
我已经知道,如果我隐藏笔记本页面的顶部小部件,选项卡就会消失,但这不是我想要的。我真正想要的是标签不敏感,就像gtk_widget_set_sensitive(GTK_WIDGET(notebook_tab), false);
谢谢!

0 投票
1 回答
833 浏览

c# - System.Speech 降低麦克风灵敏度

我想知道如何在 C# 中使用 System.Speech 降低麦克风灵敏度。

为了解释我自己,我有一个语法文件,当我说 SIVRAJ(我的程序名称)时,我的应用程序应该开始记录我

但是,我可以说一些完全不同的东西,我的应用程序会理解一些“SIVRAJ”......

我的 XML 文件中有一部分:

这是启动识别引擎的功能:

最后,我在这里恢复数据:

0 投票
3 回答
4562 浏览

c# - 基于用户角色的 ASP.NET WebAPI 条件序列化

我有一个映射到将在 ApiControllers 中返回的 POCO 的 ORM(NHibernate)。我意识到 JSON.NET 允许我将条件序列化方法 (ShouldSerialize*) 放在我的模型上;然而,这些模型和他们的方法对他们的环境一无所知,也不应该。我想做的是根据用户登录我的网站时的角色有条件地序列化模型或其一个或多个属性。我可以从概念上理解如何做到这一点,但我迷失了一部分。这是一个示例模型:

我希望能够在属性上放置一个属性以将其标记为“敏感”。然后在我的 WebApi 中,当它序列化它以进行输出时,我希望它检查这个属性的模型,如果它存在,它应该检查用户的角色。如果用户处于指定角色,则序列化程序应序列化该属性,否则它将屏蔽它或根本不序列化它。那么我是否必须编写自己的自定义格式化程序来处理这个问题,或者有没有办法连接到内置的格式化程序来执行这个检查?还是我的思维太局限了,还有另一种处理方式?

我确实认为可以处理的另一种方法是在 ORM 级别,但在网上找不到好的例子。

非常感激!

编辑:我确实在这里找到了另一个类似的问题: 基于权限的 WebApi 端点的上下文序列化, 但没有解决方案。另外,我不喜欢通过属性在模型中设置基于角色的访问的想法。我认为应该在 Web 应用程序中处理。

0 投票
4 回答
5025 浏览

c# - 通过社会安全号码安全存储和搜索

所以我正在开发一个人力资源部门需要的基于网络的补充系统来存储和搜索前员工的记录。我反对这个要求,但最终它被传下来,系统必须同时启用完整 SSN 搜索和完整 SSN 检索。抛开我的抗议不谈,采取一些措施来保护这些数据实际上将比他们现在用它做的事情有很大的改进(你不想知道)。

我一直在做很多研究,我想我已经提出了一个合理的计划——但就像所有与加密/安全相关的事情一样,它非常复杂,而且很容易出错。我的粗略计划如下:

  1. 在应用程序第一次运行时,使用 RijndaelManaged 生成一个大的随机盐和一个 128 位 AES 密钥
  2. 将这两个都写到明文文件中以进行紧急恢复。此文件将离线存储在安全的物理位置。该应用程序将检查文件是否存在,如果它仍然存在,则会发出警告。
  3. 将盐和钥匙安全地存放在某处。这是我没有很好答案的部分。我正计划使用 DPAPI——但我不知道它到底有多安全。将其保留为纯文本并限制文件系统访问其存储的目录会更好吗?
  4. 将记录写入数据库时​​,将 SSN 与上面的大盐值散列以生成可搜索的字段(但在没有获得盐和暴力破解所有可能的 SSN 的情况下无法恢复),并且 AES 使用 a 加密原始 SSN 值new IV(存储在旁边)以生成可检索(使用密钥/iv)但不可搜索的字段(因为两次加密相同的 SSN 会产生不同的输出)。
  5. 搜索时,只需用相同的盐对搜索值进行哈希处理,然后在数据库中查找
  6. 检索时,使用 AES 密钥/iv 从数据库中解密值

除了需要一种以相对安全的方式存储密钥的方法(上面的第 3 点)之外,它似乎足够可靠。

对我们不起作用的事情:

  • “不要这样做”不是一个选项。这需要完成,如果我们不这样做,他们会 a) 生我们的气,b) 只需通过电子邮件将所有数字传递到纯文本文档中。

这将仅在我们的网络内部,因此我们至少在此处实施的任何内容之上都有这一层保护。并且对应用程序本身的访问将由活动目录控制。

感谢您的阅读,以及任何建议。

更新 #1:我从评论中意识到,为 SSN 检索字段保留私有 IV 是没有意义的。我更新了计划,为每条记录正确生成一个新的 IV,并将其与加密值一起存储。

更新#2:我正在从我不能做的事情列表中删除硬件。我做了一些研究,似乎这些东西比我想象的更容易获得。使用其中一种 USB 安全令牌是否会为密钥存储增加有意义的安全性?

0 投票
2 回答
4444 浏览

node.js - MongoDB 和 NodeJS 中的敏感数据分离 - 通过加密密钥进行引用

我目前正在开发一个允许用户保存敏感日期的应用程序。由于它是我们正在使用的 Web 应用程序NodeJSMongoDB用于持久性。(顺便说一句,我对 Node 和 NoSQL 完全陌生)

我们确实有可以存储某种病史的用户。姓名和电子邮件存储在用户文档中,而其他内容存储在配置文件中。为了提高安全性,我希望encrypt用户引用他的个人资料,反之亦然。

目前我正在使用CryptoNodeJS来加密(AES256)user_id用户配置文件中的引用。因此,引用不再是 ObjectID 的一种类型,而是一个字符串

因此,通过直接查看数据库,无法检查哪个配置文件属于哪个用户。密钥encryptdecrypt用户 ID 存储在服务器的 js 文件中的某个位置NodeJS

这是一种常见/好方法还是我做错了什么?有没有更好的方法——我读到 mongoDB 不支持任何“内置加密”

至少,这里是加密/解密的代码

};

0 投票
1 回答
254 浏览

clickonce - 卸载 ClickOnce 应用程序后擦除 AppData/Roaming

我有一个处理敏感内容的 .NET 应用程序。因此,在卸载它后,我想确定它的所有数据都已从设备的存储中完全删除。应用程序存储的所有数据都放在 c:\Users[username]\AppData\Roaming[Application] 并在应用程序卸载后仍然存在,但它不会。

我的应用程序分布在 ClickOnce 安装程序中。

当用户通过控制面板卸载时,如何让它擦除所有数据?

我发现了一些关于如何清除存储在 c:\Users[username]\AppData\Local 中的应用程序缓存的信息,但这不是我想要的。

0 投票
1 回答
15766 浏览

php - 从路由号码中获取银行名称

谷歌搜索一组常见的路由号码及其在美国的银行名称会拉出整个垃圾网站列表。谁能指出我在哪里可以找到这样的数组或更好的处理路由号码解析的 javascript/jquery 插件?

我知道Stripe至少必须有这个列表,因为当我在他们的 OAuth 协议期间给他们我的路由号码时,他们会告诉我我的银行名称。

如果我无法获得这份清单,我想 Stripe 一定有特殊许可(?),这对我来说似乎很奇怪,因为这些数字对于使用每家银行的每个人来说都是相同的。

无论如何,这里的信息稀缺是怎么回事?