লোকালস্টোরেজ কতটা নিরাপদ?


33

প্রশ্ন সব সত্যিই বলছে। আমি একটি পরিষেবা সরবরাহ করতে চাই তবে আমি কোনও ডাটাবেসে নিজেই কোনও ডেটা সঞ্চয় করতে চাই না। হ্যাকিং ইত্যাদির সাম্প্রতিক সমস্ত খবরের সাথে আমার কাছে মনে হয় ক্লায়েন্টদের তাদের ডেটার উপরে সম্পূর্ণ নিয়ন্ত্রণ রয়েছে।

সমস্যাটি হ'ল সঞ্চিত ডেটা সম্ভাব্য সংবেদনশীল। আমি যা করতে যাচ্ছিলাম ... যখন কোনও ক্লায়েন্ট সেখানে ওয়েবসাইট দেখেন তখন একটি প্রশ্ন জিজ্ঞাসা করা হত যে 'আপনি কি ব্যক্তিগত কম্পিউটার বা কোনও পাবলিক কম্পিউটারে আছেন?' তারা যদি সর্বজনীন কম্পিউটারে থাকে তবে সাইট অ্যাক্সেস প্রত্যাখ্যান করবে।

যদি তারা কোনও ব্যক্তিগত কম্পিউটারে থাকে তবে এটি তাদের পাসওয়ার্ড সেট করতে অনুরোধ করবে। তাদের সমস্ত ডেটা এই পাসওয়ার্ডের সাথে এনক্রিপ্ট করা হবে। এখন অবশ্যই এটি খুব নিরাপদ নয়। এনক্রিপশন পদ্ধতিটি জাভাস্ক্রিপ্ট এবং তাদের পাসওয়ার্ডে সরল পাঠ্যে থাকবে তাই আমি ধরে নিই যে কোনও সচেতন ব্যবহারকারীর পক্ষে লোকালস্টোরারেজে পাসওয়ার্ডটি সনাক্ত করা এবং ডেটা অ্যাক্সেস করা সম্ভব হবে।

যদিও আমি মনে করি এটি খুব একটা সমস্যা নয়। আপনি যদি কোনও ব্যক্তিগত কম্পিউটার ব্যবহার করে থাকেন তবে এটির সম্ভাবনা দূরবর্তী হওয়ার কারণে ... অন্য কারও কম্পিউটারে তাদের নির্দিষ্ট ব্যবহারকারীর অ্যাকাউন্টে অ্যাক্সেসের প্রয়োজন হবে, অন্য কারও সাইটের সম্পর্কে জানতে হবে ... অন্য কারও বুঝতে হবে লোকালস্টোরেশন এবং কীভাবে এটি অ্যাক্সেস করা যায় সংবেদনশীল ডেটা এমন কোনও নয় যা তাদের পরিচয় বা আরও অনেক কিছু নিয়ে আপস করবে। এটি কেবল এমন কিছু রেকর্ড করে যা বেশিরভাগ লোকজন প্রকাশ্যে প্রকাশ করতে পছন্দ করে না।

সুতরাং সত্যিই প্রশ্নটি হল, লোকালস্টোরেজ কি যথেষ্ট নিরাপদ?

অতিরিক্ত প্রশ্ন .. আপনার স্থানীয় স্টোরেজ মুছা কতটা কঠিন? আমি চাইব না যে ব্যবহারকারীরা দুর্ঘটনাক্রমে তাদের ডেটা মুছে ফেলুক।

শেষ অবধি - তাদের ডেটা এনক্রিপ্ট / ডিক্রিপ্ট করার মতো কি আপনার কাছে পাসওয়ার্ড থাকলে আপনি সাইটে অ্যাক্সেস করতে পারবেন ..


2
ক্লায়েন্ট-সাইড জাভাস্ক্রিপ্ট ক্রিপ্টোগ্রাফি করার জন্য সেরা জায়গা নয়। যে কোনও সচেতন ব্যবহারকারী কোডটি দেখতে এবং আপনার এনক্রিপশন অ্যালগরিথিমটি হ্যাক করতে পারে এবং এটি তৈরি করতে পারে যাতে এটি আসলে কিছু না করে এবং এটি কেবল এনক্রিপ্ট করা পাসওয়ার্ড গ্রহণ করে।

উত্তর:


10

এমনকি স্থানীয় স্টোরেজেও কীভাবে পাসওয়ার্ডটি মোটেই স্টোর না করা যায়? আপনি পাসওয়ার্ড থেকে একটি চাবি পেতে একটি কী ডেরাইভেশন ফাংশন ব্যবহার করতে পারেন। একটি লবণ এবং যুক্তিসঙ্গত সংখ্যার পুনরাবৃত্তি সহ এটি শালীনভাবে সুরক্ষিত হওয়া উচিত।


এটি আরও সুরক্ষিত হবে যদি পাসওয়ার্ডটি পিএইচপিকে জমা দেওয়া হয় যা পর্দার পিছনে কী তৈরি করে?
জেসনস

পাসওয়ার্ডটি প্রথমে ক্লায়েন্টকে দেওয়া হয়। সার্ভারে এটি প্রেরণ করে আপনি ঝুঁকি বাড়িয়েছেন এটি চুরি হতে পারে। জেএস-এ কী উপার্জনটি ক্লায়েন্টের গোপনীয়তা রাখে। প্রতিটি ক্ষেত্রে আপনার খুব শীঘ্রই পিডব্লিউটি ভুলে যাওয়া উচিত। তবে আমি মনে করি এটি এখনও অর্থহীন - আমার উত্তর দেখুন।

অনেক হ্যাকার বেশ বুদ্ধিমান ... লিবি বিক্রিপ্ট ব্যবহার করুন।
এডি বি

2

স্থানীয় স্টোরেজ সহ জাভাস্ক্রিপ্ট ব্যবহার করা সর্বাধিক সুরক্ষিত হিসাবে (আপনার সার্ভার প্লাস ব্রাউজার এবং সার্ভারের মধ্যে সংযোগ)।

যদি কেউ আপনার সার্ভারটি সংশোধন করতে এবং বিভিন্ন জেএস ফাইল পরিবেশন করতে বা সার্ভার থেকে ক্লায়েন্টের কাছে প্রেরিত জেএস ফাইলগুলি সংশোধন করতে (সংক্রামিত হওয়ার সময়) পরিচালনা করে তবে তারা যে ডেটা চান তা দিয়ে কিছু করতে পারে।

অতিরিক্তভাবে: ডেটা ক্লায়েন্টে থাকার কারণে আপনি ডেটা সুরক্ষার জন্য কিছুই করতে পারবেন না। একটি সাধারণ সার্ভারে আপনি যেমন অ্যাক্সেসের ফ্রিকোয়েন্সি সীমাবদ্ধ করতে পারেন (উদাহরণস্বরূপ একটি দূরবর্তী পাসওয়ার্ডের জন্য: 10 মিনিটের মধ্যে কেবল 1 পাসওয়ার্ড পড়ুন)। ডেটা ক্লায়েন্টের উপরে থাকলে এবং ডেটার সাথে কাজ করা সমস্ত কোড কোনও আক্রমণকারী দ্বারা ম্যানিপুলেট করা যায় তবে এগুলি সমস্তই অকেজো।

এমনকি স্থানীয় স্টোরেজ সহ আপনার নিজের ওয়েব অ্যাপ্লিকেশনটি সুরক্ষিত করা দরকার! (আশাকরি) নিরাপদ সার্ভারে কেন জিনিসগুলি করা হচ্ছে? না হলে ক্লায়েন্টে ইনস্টলড লোকাল প্রোগ্রাম ব্যবহার না করে কেন?


আপনি কি মনে করেন না যে ডিভাইসটি অন্য কারও দ্বারা ব্যবহার করা বা চুরি হয়ে গেলে মূল সুরক্ষা সমস্যাটি?

2

লোকালস্টোরেজ ডেটা ডিক্রিপ্ট করার জন্য ব্যবহৃত সার্ভার থেকে কী কী পাওয়া যায়?

এটি এর মতো কাজ করতে পারে:

  • যখন একটি সেশনটি ইনস্টল করা হয়, সার্ভারটি একটি কী প্রদান করে।
  • লোকালস্টোরারে ডেটা এনক্রিপ্ট / ডিক্রিপ্ট করার জন্য এই কীটি ব্যবহৃত হয়।
  • ব্যবহারকারী পৃষ্ঠাটি ছেড়ে গেলে, কীটি হারিয়ে যায়, লোকালস্টোরেশনে অন্যদের কী পড়তে বাধা দেয়।

এটির ব্যবহারকারীর একটি প্রতিষ্ঠিত সেশন থাকা অবস্থায় কেবল অ্যাক্সেসের অনুমতি দেওয়া উচিত।


3
এটি অফলাইনে ডেটা অ্যাক্সেস করতে কাজ করবে না (যা লোকালস্টোরেজের জন্য প্রাথমিক ব্যবহারের ক্ষেত্রে মনে হয়)। এই পদ্ধতিটি অফলাইনে ব্যবহার করতে, আপনাকে কীটি ধরে রাখতে হবে।
টিমোথি লি রাসেল

0

সাধারণত এটি স্থানীয় সঞ্চয়স্থান মুছা শক্ত নয়, তবে এটি ব্রাউজারের উপর নির্ভর করে। ব্রাউজারগুলির বিকাশকারী সরঞ্জামগুলিতে আপনাকে যেতে হবে (ফায়ারব্যাগ, ওয়েবকিট স্টাফ ইত্যাদি)।

আপনি কুকিজ সম্পর্কে মনে করেন যেমন এটি মনে। স্থানীয় স্টোরেজে আপনার সংবেদনশীল ডেটা কখনই রাখা উচিত নয়। পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর, যাই হোক না কেন।

এক্স পরিমাণ নিষ্ক্রিয়তার পরে স্থানীয় সঞ্চয়স্থান সাফ করার জন্য আপনি সর্বদা কিছু বৈশিষ্ট্য প্রয়োগ করতে পারেন, তবে এটি কোনও সুরক্ষা সমস্যা সমাধান করতে চলেছে না। এটি একটি স্বয়ংক্রিয় সেশনের মেয়াদ শেষ হওয়ার মতো। একই সমস্যাটি প্রযোজ্য, যদি কোনও ব্যক্তি কম্পিউটার ছেড়ে যায় এবং সেশনটির মেয়াদ শেষ হওয়ার আগে অন্য কেউ বসে থাকে তবে তারা স্টাফ করতে পারে।


0

দুটি সমস্যা:

  1. আপনি যদি সরল পাঠ্য পাসওয়ার্ড সংরক্ষণ করেন এবং তারপরে সন্ধানের সম্ভাবনা নেই এমনটির উপর নির্ভর করেন তবে এটি কেবল অস্পষ্টতার মাধ্যমে সুরক্ষা। কেবল ক্লিয়ারটেক্সটে ডেটা সংরক্ষণ করুন এবং একই অনুমানের উপর নির্ভর করুন (এখনও নিরাপদ নয়, তবে সুরক্ষার কোনও মিথ্যা ধারণা নেই)

  2. বেশিরভাগ ব্রাউজারগুলিতে, লোকেরা তাদের ক্যাশে মুছে ফেললে তারা তাদের স্থানীয় স্টোরেজ সামগ্রীও সরিয়ে দেয়। লোকেরা যখন তাদের ইতিহাস এবং ক্যাশে মুছবে তখন তারা গুরুত্বপূর্ণ ডেটা হারানোর আশা করে না।

আমি মনে করি আপনি লোকালস্টোরেশন বলতে কী বোঝাতে চাইছেন তা বেশি চাপ দিচ্ছেন। আপনাকে কটাক্ষপাত পারে আপনি একটি স্থানীয় ডাটাবেসের যে webapps সঙ্গে ভাল খেলে ব্যবহার করতে চান তাহলে CouchDB এর couchapps

তবে পাসওয়ার্ড সংরক্ষণ করবেন না।


0

আপনি জাভাস্ক্রিপ্ট ব্যবহার করতে পারে । ব্যবহারকারীকে এমন পাসওয়ার্ডের জন্য জিজ্ঞাসা করুন যা এনক্রিপশন / ডিক্রিপশন কী হয়ে উঠবে

আপনার পাসওয়ার্ডটি সংরক্ষণ করার দরকার নেই, তবে প্রতিবার ব্যবহারকারী পৃষ্ঠাটি খোলার অনুরোধ করুন।
ব্যবহারকারী এটি চাইলে এটি সঞ্চয় করতে পারে এবং এখন এর প্রভাবগুলি।

তবে তারপরে স্টিভলোর মন্তব্যে যোগ দেওয়ার জন্য কী:

  1. একাধিক ডিভাইস অ্যাক্সেস
  2. ব্যাকআপ
  3. পাসওয়ার্ড ভুলে গেছেন
  4. খুব সহজ ক্যাশে ক্লিয়ারিং

আমি মনে করি আপনার যুক্তির শুরুতে পুনর্বিবেচনা করা উচিত। কিছু সাম্প্রতিক ও চাঞ্চল্যকর ইভেন্টের কারণে ক্লাউড এড়ান, একটি দ্রুত উপসংহার।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.