1. дома
  2. Вопрос и ответ
  3. Безопасность веб-базы данных HTML5

Безопасность веб-базы данных HTML5

2010-05-25 2 views
1

Должна ли использоваться база данных HTML5 для хранения любой формы личной информации?Безопасность веб-базы данных HTML5

Скажем, у нас есть следующий сценарий;

Вы просматриваете почтовый клиент, который использует веб-базу данных для хранения почтовых черновиков после того, как вы написали некоторую информацию, которую вы закрываете в веб-браузере. Что мешает мне получить доступ к этой информации?

Если веб-страница пытается очистить старую информацию при открытии, пользовательский скрипт может легко предотвратить загрузку сайта и затем выполнить поиск через базу данных. Кроме того, имена баз данных и таблиц легко доступны через источник веб-почты.

W3C Draft

источник

2010-05-25 Daniel Dimovski

+0

Кто '' в вашем вопросе? Если это сам пользователь, ничто не может помешать ему получить эту информацию - ведь он составил черновики и отправил эти письма. Во многом это похоже на cookie - конечный пользователь всегда может прочитать его значение, изменить его или даже удалить. –

+0

С «мной» я сослался на любого, кто интересуется чтением личной информации пользователей. –

ответ

2

Единственный способ, которым внешняя сторона могла получить доступ к базе данных пользователя, - это прямой доступ к компьютеру пользователя или если у вашего веб-приложения есть уязвимость безопасности (такая как XSS - скрипт Cross Site). В противном случае стандартная защита браузера определяет, что только сценарии, запущенные на веб-страницах из определенного домена, могут обращаться к базам данных, которые были созданы/сохранены в этом же домене (одна и та же политика происхождения), то же самое, что останавливает выполнение междоменных Ajax-запросов или чтение других cookie веб-сайта, все из которых можно преодолеть с помощью атаки XSS.

Для меня, хранение черновика сообщения кажется разумным, в то время как такие вещи, как данные кредитной карты, пароли и т. Д., Должны храниться исключительно на стороне сервера. Вам нужно сделать звонок о том, что нужно хранить, где, на основе того, что вы собираетесь хранить.

источник

2010-05-25 12:37:56

+0

В соответствии с проектом DNS spoofing также является одним из способов получить доступ к данным. [Ссылка] (http://dev.w3.org/html5/webdatabase/#dns-spoofing-attacks) –

0

Если база данных HTML5 будет использоваться для хранения любого вида частной информации?

Зависит от того, насколько чувствительна информация. Я не хотел бы оставлять данные кредитной карты, лежащие около где угодно.

Вы просматриваете почтовый клиент, который использует веб-базу данных для хранения почтовых черновиков после того, как вы написали некоторую информацию, которую вы закроете в веб-браузере. Что мешает мне получить доступ к этой информации?

Предполагая, что у вас нет физического доступа к компьютеру (в этом случае пользователю необходимо принять относительно экстремальные меры безопасности), и вы не запускаете службу электронной почты (в этом случае вам необходимо иметь доступ к электронной почты), тогда стандартная защита браузера останавливает вас.

источник

2010-05-25 09:59:22 Quentin

Смежные вопросы

 Смежные вопросы