Udrzovani privatnich dat rubrika: Programování: JavaScript

10 jiri.knesl
položil/-a 19.4. 11:04

Zdravím,

potřebuju na klientu udržovat velmi privátní data (řekněme údaje ke kreditce) a občas je použít. V případě, že bych měl v aplikaci bezpečnostní chybu (třeba XSS), nechci nikdy vyzradit tyto údaje. Je možné udržovat údaje tak, aby se "z jednoho namespace" nedostaly do "jiného", tedy placení měl ve své zabezpečené miniaplikaci se zašifrovanými kartami v local storage a zároveň samotnou aplikaci (poměrně rozsáhlou webapp) nezávisle.

Možnost udělat si "jakože private" mi přijde slabá. Já bych ideálně chtěl, aby si mohly ty části jen posílat zprávy, ale jinak by neměly žádnou šanci na ty objekty jakkoliv sahat, nahrazovat je, měnit je apod.

Díky.

Komentáře

odkaz
13 Občan
odpověděl/-a 19.4. 18:40

Tak dvě různé domény budou pro zabezpečení zřejmě nutností. Posílat si zprávy můžou domény konzervativně klient<->microservice<->klient, hezky se to loguje, audituje a pro hladký běh UI doplňuje s WS. Mohlo by být zajímavé využít postMessage, jako sekundárním kanál pro silnější zabezpečení.

Komentáře

  • Jakub Macek : Podpořil bych tento přístup. Prostě dvě samostatné domény. V závislosti na typu dat a použití bych doporučil se podívat na klientské certifikáty, případně nějaké šifrování, aby to neviselo čitelné v localStorage. Třeba zrovna číslo kreditky zní jako věc, kterou bych nechtěl, aby mi někdo mohl ukradnout s počítačem. 19.4. 20:27

Pro zobrazení všech 3 odpovědí se prosím přihlaste:

Rychlé přihlášení přes sociální sítě:

Nebo se přihlaste jménem a heslem:

Zadejte prosím svou e-mailovou adresu.
Zadejte své heslo.