根据母公司范围的授权,我需要构建我的网络应用程序,任何个人身份识别的客户信息只有在用户点击"查看"现场按钮。
(这不是高级安全性的事情,并且它不需要超高级加密。所有经过身份验证和授权的应用程序都可以查看数据。授权是为了数据要加密存储,直到显示给最终用户之前才解密。目的是消除任何员工轻松访问充满敏感信息的屏幕,这些信息可能使大规模信息窃取变得容易-savvy。"锁定诚实的人诚实。")
在javascript中执行此操作的明显挑战是密文和密钥都需要用于解密值,并且它们都必须通过HTTPS来自服务器。实施不当,网络应用程序可以使加密日期更容易进入明文,因为它可以公开加密算法使用的密钥和共享机密。
至少,我可以将GUID作为有限时间的一次性使用令牌发送给客户端,以允许他们访问HTTPS Web服务,该服务将在每次单击视图按钮时返回一项明文数据。 (除了限制数据被盗的速度之外,技术上没有什么可以增强安全性。)
是否有已知的方法让Web应用程序在初始请求和后来的AJAX请求之间使用拆分数据来增强数据安全性?我当然可以滚动我自己的系统来处理AJAX视图请求,这些请求可以使用时间,会话密钥等来验证请求,但是我不确定这是否真的会得到任何好处 - 我仍然会有两个选择:通过带有明文的HTTPS响应AJAX请求,或者将密文和解密密钥/秘密发送到浏览器以解密。
注意:请记住,这里唯一的要点就是阻止非技术人员做出错误的事情,以便轻松窃取"轻松窃取"数据。如果有人想要揭穿或证明任何技术是否真正有利于安全,或者只是忙于工作同样容易受到伤害,我感到非常舒服。