2
最近我一直在研究流行的Java安全框架(Spring Security和Apache Shiro)。我注意到这两个框架都支持缓存。 阿帕奇四郎甚至形容它的模块:缓存安全信息安全吗?
缓存是在Apache中Shiro的API一个一线的公民,以确保 安全操作保持快速,高效。
我的问题是:
- 它是安全的缓存安全信息,例如的Ehcache?
- 这是一种流行的方法吗?
- 当谈到安全性时,我们应该考虑效率吗?
- 为什么冒险?
A
回答
1
当浏览器缓存通过https传输的内容时,它以加密状态存储。密钥存储在内存中,当浏览器关闭时,缓存和密钥将被删除。主要的威胁是间谍软件,间谍软件可能仍然可以通过浏览器的内存访问用于加密的密钥。但它比没有好。
事情在服务器端有点不同。攻击者应该如何访问缓存存储?如果机器受到威胁,则无法存储密钥。我会确保缓存不能被访问,除非Web服务器被攻破。在这种情况下,我认为加密不会有任何帮助。
1
如果你缓存所有在内存中我认为这是安全的。问题在于ehcache将数据存储到磁盘,并且有人也可以访问机器。
在生产上没有人可以访问服务器。 (只有管理员/部署者等,但他们可以直接访问数据库,应用程序服务器,日志和其他(他们可以调试应用程序:))。但所有人都信任)
如果你缓存在服务器端 - 做到这一点。
相关问题
- 1. Appfabric缓存安全
- 2. 安全(r)存储MySQL登录信息?
- 3. PHP的安全信息?
- 4. Visual Basic Ftp信息安全
- 5. RPC安全信息缺少
- 6. AppFabric缓存传输安全
- 7. WIF安全令牌缓存
- 8. 坚持安全信息和集成安全性的区别?
- 9. 如何避免安全信息/安全警报从IE
- 10. JQuery安全吗?
- 11. TempData:安全吗?
- 12. “User.Identity.Name”安全吗?
- 13. FormsAuthentication:安全吗?
- 14. 安全吗?覆盖apache2 index.php的安全
- 15. PHP:filter_var安全性足够安全吗?
- 16. 网络安全 - url参数安全吗?
- 17. 缓冲读写器线程安全吗?
- 18. WordPress的私人/公共信息安全。
- 19. API安全 - 发送CC信息
- 20. Marklogic:安全和配置升级信息
- 21. 警告日志记录安全信息
- 22. 如何使异常信息安全
- 23. xml游戏信息安全的移动?
- 24. 保持数据库信息安全
- 25. 角4个安全的重要信息
- 26. 正在强制I2C通信安全吗?
- 27. python线程安全对象缓存
- 28. GWT - 弹簧安全 - 缓存问题
- 29. 类型安全的C#通用缓存
- 30. .NET线程安全的缓存结果
我的问题是关于服务器端,因为我提到了Java安全框架。 – 2012-03-21 15:25:42
@Maciej Ziarko ...那被覆盖了。我以浏览器为例。 – rook 2012-03-21 15:26:43
这就是为什么我upvoted你的答案:-) – 2012-03-21 15:27:41