我正在编辑:移动网络应用程序它显示一些敏感信息,并需要一个登录名将会员用户名和密码存储在HTML5会话中。用户名和密码当前以未加密状态存储,原因是我们需要在每个页面加载时使用此用户名和密码来访问客户端远程Web服务。HTML5客户端数据加密 - 我有什么选择?
编辑:安全审查后,我们的客户提出了以下关注:
“有是会话存储的信息会存储在磁盘上(例如,在浏览器崩溃)的潜在为此没有任何敏感信息应在会话存储器中以未加密方式存储,因为会话超时被实现,用户ID和会话令牌可以被存储,但不建议存储密码/ PIN。
加密和解密存储在客户端的敏感数据的最佳/最安全的方法是什么?
谢谢!
安全反对什么?客户端攻击?运送中的攻击?答案会因此而大不相同。 – Piskvor 2011-05-12 09:42:25
@ Piskovar-客户安全团队的一名成员提出了一个特别的问题:“Session Storage信息可能存储在磁盘上(例如,浏览器崩溃)。因此,不应该有敏感信息在会话存储器中以未加密方式存储,因为会话超时已实现,所以可以存储用户ID和会话令牌,但不建议存储密码/ PIN。 – TGuimond 2011-05-12 09:45:19
啊哈,谢谢你的澄清。 – Piskvor 2011-05-12 09:46:20