这是一个软件工程问题,而不是编程问题。我试图让标题尽可能相关,如果有人觉得他们可以更恰当地说出来,请让我知道。从我自己的安全系统回收我自己
因此,我一直在开发使用异步的即时聊天Web服务。 JavaScript和PHP。应用程序背后的主要卖点是最大的保密性。有很多即时聊天应用程序,从Live Messenger,雅虎通,IRC和Skype等等。然而 - 叫我偏执狂 - 但我觉得我永远不会相信软件背后的公司,因为很少有控制权暴露给用户,而且大多数人似乎完全忽略了隐私问题。我知道还有很多其他安全/私密IM应用程序,但决定创建自己的应用程序,它使用SSL来加密所有使用点(用户 - >数据库 - >用户)之间的通信,消息内的传入/来源属性表是SHA256用盐进行散列,并且作为进一步的预防措施,一旦收件人收到(或要求我应该说)该邮件,邮件就会自动从数据库中删除。
此刻消息本身是纯文本。我可以使用PHP的各种加密库,但是我该如何做,这样可以消除我自己,所有者的潜力来解密消息,从而危害隐私?
我绝不会这样做,当然,我只想在这个范围内证明隐私。如果我用密码加密,我会知道密码。如果我使用编程密码进行加密,我会知道PHP将存储密码的位置。
有没有办法解决这个问题?或者这只是以信任而结束?据我所知PHP是无状态的,但会话例如强制服务器将数据存储在内存中,这可能是将密钥/密码存储在内存中的解决方案吗?
感谢您的任何想法或建议。
您可以使用公钥加密,客户端软件将执行所有加密和解密操作。 – Mat
客户端软件是浏览器?或者我的JS脚本? – Lee