HTML5脱机身份验证安全问题

Question

我正在使用HTML5制作移动Web应用程序。我的问题是，据我所知，HTML5应用程序缓存缓存的“登录后”页面仍然不安全。有解决方案吗？确保隐藏用户/通行证和入侵者“登录后”页面的离线身份验证的最佳方式是什么？

Answer 1

我刚刚开始深入研究通过Manifest选项（http://diveintohtml5.info/offline.html）的本地存储的HTML5使用情况，这对我来说也是一个担心隐私和安全的问题。想到两件事：Ezncrypt和网络存储（隐私和安全）的编辑草案，下面的链接...

虽然我不知道这是否是'最好'的答案，想通什么会是总比没有好，毕竟你在2012年2月2日发布了这个问题，没有人提供任何东西。

注意事项（ezNcrypt）： 它适用于Linux的 它有30天试用一个商业产品，真的不知道成本，因为我不跟他们关联，只是听说他们通过当地的聚会做什么， LAPHP，LAMySQL或LAWebspeed，这听起来很有趣，可供将来参考。透明加密将是巨大的。

谷歌Ezncrypt产品得到一个链接，我只限于这里两个。

即使它不适合您或他人的'正确'解决方案，也许它会指向一个良好的方向与一些体面的搜索条件，以找到更多。

如果加密是在应用程序/数据层下面“透明地”处理的，那么无论用户的IT知识如何，它都会正常工作。

如果您愿意与他们分享一些联系信息，您将获得包含4个案例研究，FTP，NoSQL，SQL和其他内容的其他PDF文件......这是免费的。

http://blog.gazzang.com/white-paper-unifying-data-encryption-liberating-transparent-encryption-for-any-purpose-/?utm_campaign=Whitepaper&utm_source=Whitepaper

我应该得到佣金，哈哈。嘿，如果它能帮助我们找到解决方案，那才是最重要的。

无论您做出什么决定，都要确保您阅读编辑草稿，隐私和安全，以便点击我的并跨越您的T，尤其是第6部分隐私和第7部分安全。

http://dev.w3.org/html5/webstorage/#the-localstorage-attribute

只是想到了另外一个，我没有看，除了提供一个网址给他们的清单（小抄），但我的猜测是OWASP将有一个或两个清单可能导致你的东西。只要将您的设备视为一个小桌面/服务器，看看是否有适用。为了改善我的诺基亚N800在我身上爆发了，大约在2006年，我手中的一台完整的Linux计算机，以及大约2012年的新款Linux手持设备，功能非常强大。只需在具有可更换存储设备的小型设备上使用Linux发行版即可（Micro SSD卡可以工作...诺基亚N800在2006年有两个插槽），您可以在本地存储和离线使用的内容不受限制。这里是OWASP清单的网址：

抱歉限于两个链接，谷歌OWASP cheet表，你会发现它们。

如果手持设备真的是'智能'，您将拥有对设备和底层操作系统/文件系统的根（管理员）访问权限。每个操作系统都有方法来即时加密数据，但您必须有权使用它们。不给你这个访问设备（通常是专有的原因，最常见的强迫你在6个MOS购买一台新设备至1年），是人为地限制你的选择的错误的原因和根本不聪明。请记住，Android（Linux）的所有版本都不是开放且可变的，所以做功课或者在不久的将来您的纸张重量就会很大。

我建议只买智能手持设备，使根/管理员权限。