161

বন্ধ । এই প্রশ্নটি মতামত ভিত্তিক । এটি বর্তমানে উত্তর গ্রহণ করছে না।

এই প্রশ্নটি উন্নত করতে চান? প্রশ্নটি আপডেট করুন যাতে পোস্টটি সম্পাদনা করে সত্য এবং উদ্ধৃতি দিয়ে উত্তর দেওয়া যায় ।

2 বছর আগে বন্ধ ।

এই প্রশ্নটি উন্নত করুন

আমাকে এমন একটি ওয়েব অ্যাপ্লিকেশন বিকাশ করতে হবে যা দীর্ঘ সময়ের জন্য অফলাইনে কাজ করবে। এটি কার্যকর হওয়ার জন্য আমি স্থানীয় স্টোরেজে সংবেদনশীল ডেটা (ব্যক্তিগত ডেটা কিন্তু আপনি যে ধরণের ডেটা কেবলমাত্র হ্যাশ সংরক্ষণ করবেন না) সংরক্ষণ করা এড়াতে পারি না।

আমি স্বীকার করি যে এটি অনুশীলন করার প্রস্তাব দেওয়া হয়নি, তবে ডেটা সুরক্ষিত করার জন্য আমি নিম্নলিখিতটি করছি:

স্ট্যানফোর্ড জাভাস্ক্রিপ্ট ক্রিপ্টো লাইব্রেরি এবং এইএস -২6 using ব্যবহার করে স্থানীয় স্টোরেজে যাবতীয় এনসক্রিপিং
ব্যবহারকারীর পাসওয়ার্ড হ'ল এনক্রিপশন কী এবং ডিভাইসে সংরক্ষণ করা হয়নি
এসএসএল-এর মাধ্যমে একক বিশ্বস্ত সার্ভার থেকে সমস্ত সামগ্রী (অনলাইনে) সরবরাহ করা
ওওএসপি এন্টিস্যামি প্রকল্প ব্যবহার করে সার্ভারে স্থানীয় সঞ্চয়স্থান থেকে সমস্ত ডেটা যাচাই করা
অ্যাপক্যাশের নেটওয়ার্ক বিভাগে, * ব্যবহার না করে এবং এর পরিবর্তে বিশ্বস্ত সার্ভারের সাথে সংযোগের জন্য প্রয়োজনীয় কেবলমাত্র ইউআরআই তালিকাবদ্ধ করা
সাধারণভাবে OWASP XSS চিট শীটে প্রস্তাবিত নির্দেশিকাগুলি প্রয়োগ করার চেষ্টা করছে

আমি প্রশংসা করি যে শয়তান প্রায়শই বিশদে থাকে এবং জানি যে স্থানীয় সঞ্চয়স্থান এবং জাভাস্ক্রিপ্ট-ভিত্তিক সুরক্ষা সম্পর্কে প্রচুর সংশয় রয়েছে। কেউ আছে কিনা তা সম্পর্কে মন্তব্য করতে পারেন:

উপরোক্ত পদ্ধতির মৌলিক ত্রুটিগুলি?
এই ধরনের ত্রুটিগুলির জন্য কোনও সম্ভাব্য সমাধান?
এইচটিএমএল 5 অ্যাপ্লিকেশনটি দীর্ঘ সময়ের জন্য অফলাইনে কাজ করতে হবে যখন স্থানীয় স্টোরেজ সুরক্ষার জন্য আরও ভাল কোনও উপায়?

কোন সাহায্যের জন্য ধন্যবাদ।

— user1173706
সূত্র

"আমি স্বীকার করি যে এটি প্রস্তাবিত অনুশীলন নয়" - তাই কি? এটি কি আসলে এটির জন্য তৈরি করা হয়েছে তার বিপরীত নয়?

— হ্যাক্রে

2

স্পষ্ট করার জন্য, আমি বলতে চাইছি স্থানীয় স্টোরেজে সংবেদনশীল ডেটা সঞ্চয় করার জন্য অনুশীলনের প্রস্তাব দেওয়া হয়নি ।

— ব্যবহারকারী 1173706

এর মতো আপনার কি বড় নেটওয়ার্কগুলির মাধ্যমে সংবেদনশীল ডেটা পাস করা উচিত নয় ?

— হ্যাক্রে

@ user1173706 অ্যাপ্লিকেশনটি কেন কাজ করতে হবে বর্ধিত সময়ের জন্য অফলাইনে চালাতে হবে? ব্যবহারকারীরা কি পছন্দ করেন? আপনার কোন ব্রাউজার সমর্থন করতে হবে? আমি একজনের পক্ষে এটি সম্ভব বলে মনে করি তবে আপনার দৃশ্যের সম্পর্কে আমার সুনির্দিষ্ট তথ্য জানতে হবে ।

— বেনিয়ামিন গ্রুইনবাউম

@ বেঞ্জামিন আমি প্রশ্নটি আপডেট করেছি। ধন্যবাদ।

— ব্যবহারকারী 1173706

74

WebCrypto

ক্লায়েন্ট-সাইড (ব্রাউজার) জাভাস্ক্রিপ্টে ক্রিপ্টোগ্রাফি নিয়ে উদ্বেগগুলি নীচে বিস্তারিত রয়েছে। এই উদ্বেগগুলির মধ্যে একটিও কিন্তু ওয়েবক্রিপটো এপিআই- তে প্রযোজ্য না , যা এখন যুক্তিসঙ্গতভাবে সমর্থনযোগ্য ।

অফলাইন অ্যাপ্লিকেশনটির জন্য আপনাকে অবশ্যই একটি সুরক্ষিত কীস্টোর ডিজাইন এবং প্রয়োগ করতে হবে।

পাশে: আপনি যদি নোড.জেএস ব্যবহার করেন তবে বিল্টিন ক্রিপ্টো এপিআই ব্যবহার করুন ।

নেটিভ-জাভাস্ক্রিপ্ট ক্রিপ্টোগ্রাফি (প্রাক-ওয়েবক্রিপ্টো)

আমি অনুমান করি যে প্রাথমিক উদ্বেগ হ'ল localStorageআপনার সাইটের কম্পিউটার পড়তে শারীরিক অ্যাক্সেস সহ এমন কেউ কেউ আছেন এবং আপনি সেই অ্যাক্সেস আটকাতে ক্রিপ্টোগ্রাফি করতে চান।

কারও কাছে শারীরিক অ্যাক্সেস থাকলে আপনি অন্য আক্রমণগুলিতেও উন্মুক্ত এবং পড়ার চেয়ে খারাপ। এর মধ্যে রয়েছে (তবে সীমাবদ্ধ নয়): কীলগার, অফলাইন স্ক্রিপ্ট পরিবর্তন, স্থানীয় স্ক্রিপ্ট ইনজেকশন, ব্রাউজার ক্যাশে বিষ এবং ডিএনএস পুনঃনির্দেশগুলি ire এই আক্রমণগুলি কেবল তখনই কার্যকর হয় যখন ব্যবহারকারী মেশিনটিকে আপস করার পরে এটি ব্যবহার করে। তবুও, এই জাতীয় দৃশ্যে শারীরিক অ্যাক্সেসের অর্থ আপনার বড় সমস্যা রয়েছে।

সুতরাং মনে রাখবেন যে মেশিনটি চুরি হয়ে গেলে সীমিত দৃশ্য যেখানে স্থানীয় ক্রিপ্টো মূল্যবান।

এমন গ্রন্থাগার রয়েছে যা পছন্দসই কার্যকারিতা বাস্তবায়িত করে, যেমন স্ট্যানফোর্ড জাভাস্ক্রিপ্ট ক্রিপ্টো লাইব্রেরি । অন্তর্নিহিত দুর্বলতা রয়েছে, যদিও (@ ইরাকমেক্সেলের উত্তর থেকে লিঙ্কটিতে উল্লেখ করা হয়েছে):

এন্ট্রপি / এলোমেলো সংখ্যা উত্পন্নকরণের অভাব;
সুরক্ষিত কীস্টোরের অভাব যেমন স্থানীয়ভাবে সংরক্ষণ করা থাকে বা সার্ভারে সঞ্চিত থাকে (যা অফলাইনে অ্যাক্সেস বার করে) যদি ব্যক্তিগত কী অবশ্যই পাসওয়ার্ড-সুরক্ষিত থাকতে পারে;
নিরাপদে মুছে ফেলার অভাব;
সময় বৈশিষ্ট্য অভাব।

এই দুর্বলতাগুলির প্রতিটিই একটি বিভাগের ক্রিপ্টোগ্রাফিক সমঝোতার সাথে মিলে যায়। অন্য কথায়, আপনার নামের সাথে "ক্রিপ্টো" থাকতে পারে, এটি অনুশীলনের জন্য কঠোরতার চেয়ে কম হবে one

যা যা বলা হচ্ছে, বাস্তব জরিপটি যেমন "জাভাস্ক্রিপ্ট ক্রিপ্টো দুর্বল, এটি ব্যবহার করবেন না" তেমন তুচ্ছ নয়। এটি একটি প্রস্তাব নয়, কঠোরভাবে একটি সতর্কতামূলক বিষয় নয় এবং এর জন্য আপনাকে উপরের দুর্বলতাগুলির প্রকাশ, আপনার যে ভেক্টরগুলির মুখোমুখি এবং তার ব্যয় এবং ব্যর্থতার ক্ষেত্রে প্রশমন বা বীমা করার জন্য আপনার ক্ষমতা পুরোপুরি বুঝতে হবে: জাভাস্ক্রিপ্ট ক্রিপ্টো, ইন এর দুর্বলতা সত্ত্বেও, আপনার এক্সপোজার হ্রাস করতে পারে তবে কেবল সীমিত প্রযুক্তিগত ক্ষমতা সহ চোরদের বিরুদ্ধে। তবে, আপনার ধারণা করা উচিত জাভাস্ক্রিপ্টের ক্রিপ্টোর কোনও দৃ determined়প্রতিজ্ঞ এবং সক্ষম আক্রমণকারী যারা এই তথ্যটিকে লক্ষ্যবস্তু করছে তার বিরুদ্ধে কোনও মূল্য নেই। কিছু এতগুলি দুর্বলতা বাস্তবায়নের অন্তর্নিহিত বলে জানা গেলে ডেটাটিকে "এনক্রিপ্ট করা" বলা ভুল হিসাবে বিবেচনা করবে Some অন্য কথায়, আপনি আপনার প্রযুক্তিগত এক্সপোজারকে প্রান্তিকভাবে হ্রাস করতে পারবেন তবে আপনি প্রকাশ থেকে আপনার আর্থিক এক্সপোজারকে বাড়িয়ে তুলবেন। অবশ্যই প্রতিটি পরিস্থিতি আলাদা। এবং আর্থিক সংস্পর্শে প্রযুক্তিগত এক্সপোজার হ্রাস করার বিশ্লেষণটি ক্ষুদ্র হয় না। এখানে একটি বর্ণনামূলক উপমা:অন্তর্নিহিত ঝুঁকি সত্ত্বেও কিছু ব্যাঙ্কের দুর্বল পাসওয়ার্ডের প্রয়োজন হয় , কারণ তাদের দুর্বল পাসওয়ার্ডগুলি থেকে ক্ষতির মুখোমুখি হওয়া শক্তিশালী পাসওয়ার্ডকে সমর্থন করার ক্ষেত্রে শেষ ব্যবহারকারী ব্যয়ের চেয়ে কম is

You আপনি যদি শেষ অনুচ্ছেদটি পড়েন এবং ভাবেন "ব্রায়ান নামের ইন্টারনেটের কিছু লোক বলে যে আমি জাভাস্ক্রিপ্ট ক্রিপ্টো ব্যবহার করতে পারি ", জাভাস্ক্রিপ্ট ক্রিপ্টো ব্যবহার করবেন না।

প্রশ্নের বর্ণিত ব্যবহারের ক্ষেত্রে ব্যবহারকারীদের স্থানীয় পার্টিশন বা হোম ডিরেক্টরি এনক্রিপ্ট করার এবং শক্তিশালী পাসওয়ার্ড ব্যবহার করার জন্য এটি আরও বোধগম্য মনে হবে। এই ধরণের সুরক্ষা সাধারণত ভালভাবে পরীক্ষিত, ব্যাপকভাবে বিশ্বস্ত এবং সাধারণভাবে উপলব্ধ।

— ব্রায়ান এম হান্ট
সূত্র

২০১১ সাল থেকে এনসিসি গ্রুপ দ্বারা সরবরাহিত "জাভাস্ক্রিপ্ট ক্রিপ্টো ব্যবহার করবেন না" এর সাধারণ অবস্থানের জন্য অতিরিক্ত ডকুমেন্টেশন (উদ্ধৃতিগুলি) উপলব্ধ রয়েছে: জাভাস্ক্রিপ্ট ক্রিপ্টোগ্রাফি ক্ষতিকারক হিসাবে বিবেচিত (বিশেষত ডাউনলোডগুলি যাচাই করার জন্য সরঞ্জামটি ডাউনলোড করার ক্যাচ -২২ এর কারণে… PRNG গুণমান … ইত্যাদি)

— amcgregor

58

ঠিক আছে, এখানে প্রাথমিক ভিত্তি: না, এটি এখনও নিরাপদ নয়।

মূলত, আপনি জাভাস্ক্রিপ্টে ক্রিপ্টো চালাতে পারবেন না: জাভাস্ক্রিপ্ট ক্রিপ্টো ক্ষতিকারক হিসাবে বিবেচিত ।

সমস্যাটি হ'ল আপনি ব্রাউজারে নির্ভরযোগ্যভাবে ক্রিপ্টো কোডটি আনতে পারবেন না এবং আপনি পারলেও, জেএস আপনাকে এটিকে সুরক্ষিতভাবে চালানোর জন্য ডিজাইন করা হয়নি। সুতরাং যতক্ষণ না ব্রাউজারগুলিতে কোনও ক্রিপ্টোগ্রাফিক ধারক থাকে (যা এনক্রিপ্ট করা মিডিয়া এক্সটেনশানগুলি সরবরাহ করে তবে তাদের ডিআরএম উদ্দেশ্যে তাদের বিরুদ্ধে সমাবেশ করা হবে), নিরাপদে এটি করা সম্ভব হবে না।

একটি "আরও ভাল উপায়" হিসাবে এখনই একটি নেই। আপনার একমাত্র বিকল্প হ'ল প্লেইন পাঠ্যে ডেটা সঞ্চয় করা এবং সেরাটির জন্য আশা। বা তথ্য কিছুতেই সঞ্চয় করবেন না। যেভাবেই হোক।

উভয় ক্ষেত্রেই যে, অথবা যদি আপনি প্রয়োজন নিরাপত্তা যে সাজানোর, এবং আপনি স্থানীয় সংগ্রহস্থল প্রয়োজন একটি কাস্টম আবেদন তৈরি করুন ...

— ircmaxell
সূত্র

8

ডাউনভোটার: আপনি আরও ভাল উত্তর দিতে পারেন? আমি বুঝতে পারি যে এটি একটি বিতর্কিত বিষয় যেখানে সুরক্ষা পেশাদারদের (এবং পাশাপাশি অ-পেশাদারদের) মধ্যে উল্লেখযোগ্য মতবিরোধ রয়েছে, তাই বিকল্প দৃষ্টিভঙ্গি ভাগ করে নেওয়া উপযুক্ত worth আপনি যদি অন্য কোনও কারণে অবনমিত না হন তবে আমি কীভাবে এই উত্তরটির উন্নতি করতে পারি?

— ইরকমেক্সেল

9

@ ক্যারম্যাক্সেল আমাকে না, তবে আমি এই উত্তরটির সাথে একমত নই। "সমস্যাটি হ'ল আপনি ব্রাউজারে ক্রিপ্টো কোডটি নির্ভরযোগ্যভাবে পেতে পারবেন না, এবং আপনি পারলেও, জেএস আপনাকে এটিকে নিরাপদে চালিয়ে দেওয়ার জন্য নকশাকৃত নয়" " - কেন? কী সহজাত সমস্যা? আপনি স্ট্যানফোর্ড জাভাস্ক্রিপ্ট এনক্রিপশন লাইব্রেরি ব্যবহার করতে পারেন এবং এটিতে এনক্রিপ্ট / ডিক্রিপ্ট করতে পারেন। আপনি হ্যাশ করতে পারেন এবং আপনি নিরাপদে সবকিছু করতে পারেন। আমি এখানে কোনও অন্তর্নিহিত সমস্যাটি দেখতে পাচ্ছি না জেএসের একটি অফলাইনে অ্যাপ্লিকেশনটিতে স্ট্যান্ডার্ড ক্রপিটো করছেন, অনেকটা অন্য কোনও ভাষায় নির্মিত অ্যাপের মতো।

— বেনিয়ামিন গ্রুইনবাউম

11

@ বেনজামিন গ্রুয়েনবাউম: সমস্যাটি হ'ল এমন একাধিক জায়গা রয়েছে যেখানে ক্রাইপ্টো-কোডের তৃতীয় পক্ষের কোডের সাথে ইন্টারঅ্যাক্ট করতে হবে। আমি যে নিবন্ধটির সাথে লিঙ্ক করেছি তার পুরো বিষয়টি হ'ল আপনি কার্যকর করার পরিবেশ নিয়ন্ত্রণ করতে পারবেন না। সুতরাং আপনি স্ট্যানফোর্ড ক্রিপ্টো লাইব ইনস্টল করুন। তাহলে যদি কোনও ব্রাউজার প্লাগইন sjcl.encryptআক্রমণকারীর চাবি ইমেল করতে ওভাররাইড করে? জেএসে এটি 100% সম্ভব এবং এটি বন্ধ করার জন্য আপনার করার মতো কিছুই নেই। এবং এটি অন্তর্নিহিত পয়েন্ট। অন্যান্য জেএসগুলিকে আপনার ডেটাতে খারাপ কাজ থেকে বিরত রাখতে কোনও "সুরক্ষা" ব্যবস্থা নেই। এবং এটি একটি সমস্যা ।

— একারমেক্সেল

13

@ ক্যারম্যাক্সেল আপনি যদি কুকুরের সাথে ঘুমোয় তবে আপনি খেয়াল রাখতে পারবেন না যে আপনি খালি দিয়ে উঠবেন না। যদি ব্যবহারকারী কোনও ম্যালওয়্যার অ্যাড ইনস্টল করে তবে এটি তাদের পিসিতে কোনও ভাইরাস ইনস্টল করার মতোই, এটি এর থেকে আলাদা নয়। আপনার জাভা বা সি প্রোগ্রামটি যতটা সুরক্ষিত হতে পারে ততই সুরক্ষিত হতে পারে তবে যত তাড়াতাড়ি আক্রমণকারী আপনার কোড চালাবার কোড চালানোর ক্ষমতা রাখে। এটি জেএসের পক্ষে আলাদা নয়। অ্যাডনগুলি কেবল ব্রাউজারে ম্যাজিকভাবে উপস্থিত হয় না। তদ্ব্যতীত, এনক্রিপ্ট করা তথ্য সংরক্ষণ না করা যদি কোনওভাবেই ব্যবহারকারীকে ম্যালওয়্যার না করে, কারণ এটি কেবল ডেটা লাইভ হাইজ্যাক করতে পারে।

— বেনিয়ামিন গ্রুইনবাউম

9

@ বেনজামিন গ্রুয়েনবাউম: একমত নন। একটি স্বাভাবিক আবেদন, আপনি প্রয়োজন চাই পারেন অ্যাপ্লিকেশনের আপোষ (মেমরি অবস্থানে পড়তে), অথবা বক্স লাভ রুট অ্যাক্সেস (ওএস আপোষ)। যেভাবেই হোক, আপনাকে কেবল স্বাভাবিক আচরণের চেয়ে আরও গভীর কিছুতে আপস করা দরকার। জেএস এটি স্বাভাবিক আচরণে অনুমতি দেয়। কোনটি সমস্যা ...

— ircmamaxell

12

এই বিষয়টির অন্বেষণ হিসাবে, আমার কাছে "ওয়েব ক্রিপ্টোগ্রাফি এপিআই ব্যবহার করে সুরক্ষিত টোডোএমভিসি" শিরোনামের একটি উপস্থাপনা রয়েছে ( ভিডিও , কোড ) have

অ্যাপ্লিকেশন সুরক্ষিত করে এবং এনক্রিপশনের জন্য একটি পাসওয়ার্ড প্রাপ্ত কী ব্যবহার করে লোকালস্টোরারে এনক্রিপ্ট করা টু তালিকা সংরক্ষণ করতে এটি ওয়েব ক্রিপ্টোগ্রাফি এপিআই ব্যবহার করে। আপনি যদি পাসওয়ার্ড ভুলে যান বা হারিয়ে ফেলেন তবে পুনরুদ্ধার হবে না। ( অস্বীকৃতি - এটি একটি পোকা ছিল এবং উত্পাদন ব্যবহারের উদ্দেশ্যে নয় ))

অন্য উত্তরগুলির বিবরণ হিসাবে, এটি এখনও ক্লায়েন্ট কম্পিউটারে ইনস্টল করা এক্সএসএস বা ম্যালওয়ারের পক্ষে সংবেদনশীল। যাইহোক, কোনও সংবেদনশীল ডেটা মেমরিতে থাকবে যখন ডেটা সার্ভারে সঞ্চিত থাকে এবং অ্যাপ্লিকেশন ব্যবহৃত হয়। আমি প্রস্তাব দিচ্ছি যে অফলাইন সমর্থনটি বাধ্যতামূলক ব্যবহারের ক্ষেত্রে হতে পারে।

শেষ পর্যন্ত, লোকালস্টোরেশন এনক্রিপ্ট করা সম্ভবত কেবল আক্রমণকারীদের থেকে ডেটা রক্ষা করে যা কেবল সিস্টেম বা এর ব্যাকআপগুলিতে কেবল অ্যাক্সেস পড়ে read এটি OWASP শীর্ষ 10 আইটেম এ 6-সংবেদনশীল ডেটা এক্সপোজারের জন্য গভীরতার মধ্যে একটি সামান্য পরিমাণের প্রতিরক্ষা যোগ করে এবং আপনাকে উত্তর দেওয়ার অনুমতি দেয় "এই ডেটাগুলির কোনওটি কি পরিষ্কার টেক্সটে দীর্ঘমেয়াদে সঞ্চিত আছে?" সঠিকভাবে।

— কেভিন হাকানসন
সূত্র

3

এটি এখানে একটি সত্যিই আকর্ষণীয় নিবন্ধ। আমি স্থানীয় স্টোরেজ ব্যবহার করার সময় সুরক্ষা দেওয়ার জন্য জেএস এনক্রিপশন বাস্তবায়নের বিষয়ে বিবেচনা করছি। এটি পুরোপুরি স্পষ্ট যে এটি কেবলমাত্র ডিভাইসটি চুরি হয়ে গেলে (এবং সঠিকভাবে প্রয়োগ করা হয়) সুরক্ষা সরবরাহ করবে। এটি কীলগার ইত্যাদির বিরুদ্ধে সুরক্ষা দেবে না তবে এটি কোনও জেএস সমস্যা নয় কারণ কীলগার হুমকি সমস্ত প্রয়োগের সমস্যা, নির্বাহের প্ল্যাটফর্ম (ব্রাউজার, নেটিভ) নির্বিশেষে all প্রথম জবাবটিতে উল্লেখ করা "জাভাস্ক্রিপ্ট ক্রিপ্টো ক্ষতিকারক হিসাবে বিবেচিত" নিবন্ধ হিসাবে, আমার একটি সমালোচনা আছে; এতে বলা হয়েছে "আপনি এই সমস্যাটি সমাধানের জন্য এসএসএল / টিএলএস ব্যবহার করতে পারেন তবে এটি ব্যয়বহুল এবং জটিল"। আমি মনে করি এটি একটি অত্যন্ত উচ্চাভিলাষী দাবি (এবং সম্ভবত পক্ষপাতদুষ্ট)। হ্যাঁ, এসএসএলের একটি খরচ আছে,

আমার উপসংহার - ক্লায়েন্ট-সাইড এনক্রিপশন কোডের জন্য একটি জায়গা রয়েছে, তবে সমস্ত অ্যাপ্লিকেশনগুলির মতো বিকাশকারীদের অবশ্যই তার সীমাবদ্ধতাগুলি স্বীকার করতে হবে এবং তাদের প্রয়োজনের জন্য উপযুক্ত হলে এটি প্রয়োগ করতে হবে এবং এটির ঝুঁকি হ্রাস করার উপায় রয়েছে তা নিশ্চিত করা উচিত।

— পল এস
সূত্র

Icallyতিহাসিকভাবে প্রাথমিক সংযোগ আলোচনার সাথে যুক্ত অসাধারণ ব্যয় (যান্ত্রিক, আর্থিক নয়) হয়েছে been এ পর্যন্ত যে কর্পোরেশনগুলি ডেডিকেটেড এসএসএল টার্মিনেশন অ্যাপ্লিকেশনগুলি ব্যবহার করবে, যা শংসাপত্র জারি করা এবং আশ্বাসের ব্যয়ের বাইরে আর্থিক ব্যয়বহুল হয়ে উঠতে পারে। আজ সেই সমস্যাগুলির অনেকগুলি সমাধান করা হয়েছে, যেমন পরবর্তী অনুরোধগুলিতে প্রাথমিক হ্যান্ডশেক এড়াতে বর্ধিত সময়কাল সেশনের অধ্যবসায়।

— amcgregor

2

কোনও ওয়েবপৃষ্ঠায় অ্যাক্সেসযোগ্য নয় (সত্য) তবে ক্রম (সিটিএল-শিফট-জে) এর মতো দেব সরঞ্জামগুলির মাধ্যমে সহজেই অ্যাক্সেসযোগ্য এবং সহজেই সম্পাদনাযোগ্য। অতএব, মান সংরক্ষণের আগে কাস্টম ক্রিপ্টো প্রয়োজন।

তবে, জাভাস্ক্রিপ্টের যদি ডিক্রিপ্ট করার প্রয়োজন হয় (যাচাই করতে) তবে ডিক্রিপ্ট অ্যালগরিদম উন্মুক্ত হয় এবং ম্যানিপুলেট করা যায়।

জাভাস্ক্রিপ্টের জন্য একটি সম্পূর্ণ সুরক্ষিত ধারক এবং প্রাইভেট ভেরিয়েবল এবং ফাংশনগুলি যথাযথভাবে প্রয়োগ করার দক্ষতা প্রয়োজন যা কেবলমাত্র জেএস ইন্টারপ্রেটারের জন্য উপলব্ধ। তবে, এটি ব্যবহারকারীর সুরক্ষা লঙ্ঘন করে - যেহেতু ট্র্যাকিং ডেটা দায়মুক্তির সাথে ব্যবহার করা যেতে পারে।

ফলস্বরূপ, জাভাস্ক্রিপ্ট কখনই পুরোপুরি সুরক্ষিত হবে না।

— rockmo
সূত্র

-29

না।

লোকালস্টোরেশন যে কোনও ওয়েবপৃষ্ঠায় অ্যাক্সেসযোগ্য এবং আপনার কী থাকলে আপনার পছন্দসই ডেটা পরিবর্তন করতে পারেন।

বলা হচ্ছে, আপনি কীগুলি নিরাপদে এনক্রিপ্ট করার কোনও উপায় অবলম্বন করতে পারলে আপনি কীভাবে ডেটা স্থানান্তর করবেন তা বিবেচ্য নয়, যদি আপনি কোনও ক্লোজারের মধ্যে ডেটা রাখতে পারেন তবে ডেটা (কিছুটা) নিরাপদ।

— hellol11
সূত্র

19

এটি "কোনও ওয়েবপৃষ্ঠায়" প্রবেশযোগ্য নয়। এটি কেবলমাত্র বর্তমান ডোমেনের পৃষ্ঠাগুলিতে অ্যাক্সেসযোগ্য।

— dtabuenc

বিপরীতে @ ডিটাবাউনক, আমি কিছুক্ষণ আগে একটি কলম তৈরি করেছি যা আপনাকে কোনও স্থানীয় হ্যাক ছাড়াই আপনার স্থানীয় স্টোরারেজে প্রতিটি কী / মান জুটি প্রদর্শন করে ।

— Hellol11

3

নাঃ! দুঃখিত। স্থানীয় স্টোরেজ প্রতি ডোমেন বিচ্ছিন্ন। একটি ডোমেনে চলমান কোডগুলি অন্য ডোমেনের দ্বারা স্থানীয় স্টোরেজে থাকা মানগুলিতে অ্যাক্সেস করতে পারে না। উদাহরণস্বরূপ, google.com স্থানীয় স্টোরেজে প্রচুর স্টাফ সঞ্চয় করে। আপনি আপনার কলমের উদাহরণে গুগল.কম থেকে প্রাপ্ত কীগুলির কোনও তালিকাতে সক্ষম হবেন না।

— dtabuenc

@ ডিটাবুয়েঙ্ক এটি পরীক্ষা করেছে, আপনি ঠিক বলেছেন।

— Hellol11

স্থানীয় সঞ্চয়স্থান কি কখনও নিরাপদ হিসাবে বিবেচিত হতে পারে? [বন্ধ]

WebCrypto

নেটিভ-জাভাস্ক্রিপ্ট ক্রিপ্টোগ্রাফি (প্রাক-ওয়েবক্রিপ্টো)