如何保护 Chrome 打包应用程序上的数据?
How to secure data on a Chrome Packaged app?
我正在为我公司的客户构建一个 Chrome 应用程序。这些客户充当服务提供商(称他们为 服务提供商)并拥有自己的用户(称他们为 最终用户),他们与顾客。我正在构建的应用程序将供我客户的员工使用(称他们为 agents)。此应用程序将处理服务提供商管理的最终用户的关键数据。
虽然服务商雇佣了his/her个代理人,并且有一定的控制权,但从我的角度来看,我不能完全相信代理人。我希望我的应用程序为将由应用程序处理的数据提供安全性。
我在我的 chrome 应用程序中使用文件系统 API 和 indexedDB API。使用这些存储的数据可以使用 Web 开发控制台查看(右键单击 -> 检查元素 或 右键单击 -> 检查背景页面)。
为确保代理无法访问数据,我想在打包应用程序分发时禁用其 Web 开发工具。但是我发现没有这样的 API 或提及保护此数据。可能吗?如果是,那么如何,如果不是,我有哪些选择?
据我所知,截图还是可以的,高级用户可能会去系统磁盘上寻找实际的数据文件,所以请不要提及这些要点。这些代理是入门级操作员(大部分),我希望数据尽可能安全(欢迎额外指点)。
不,不可能完全安全地禁用检查。 chrome://inspect 如果我没记错的话,即使企业政策锁定生效,目前显然也能正常工作(这当然是一个错误)。顺便说一下,当一个应用程序被部署/加载为打包而不是加载它用于开发时,默认情况下禁用对开发工具的轻松访问。
最坏的情况,所有客户端数据都将被视为已泄露。为了安全起见,您需要将数据保存在受到良好保护的中央服务器上,拥有强大的身份验证系统,并根据需要提供数据(实施某种形式的 ACL?)。
您可以通过使用 Native Client 模块加密数据来阻止偶然的攻击,但最终您只是混淆了加密代码。坚定的攻击者可以破解本机代码模块并解密数据。
但是说真的如果破坏您的数据保护只需要一张截图,考虑一张纸和一支铅笔也可以。你担心的地方太多了。
我正在为我公司的客户构建一个 Chrome 应用程序。这些客户充当服务提供商(称他们为 服务提供商)并拥有自己的用户(称他们为 最终用户),他们与顾客。我正在构建的应用程序将供我客户的员工使用(称他们为 agents)。此应用程序将处理服务提供商管理的最终用户的关键数据。
虽然服务商雇佣了his/her个代理人,并且有一定的控制权,但从我的角度来看,我不能完全相信代理人。我希望我的应用程序为将由应用程序处理的数据提供安全性。
我在我的 chrome 应用程序中使用文件系统 API 和 indexedDB API。使用这些存储的数据可以使用 Web 开发控制台查看(右键单击 -> 检查元素 或 右键单击 -> 检查背景页面)。
为确保代理无法访问数据,我想在打包应用程序分发时禁用其 Web 开发工具。但是我发现没有这样的 API 或提及保护此数据。可能吗?如果是,那么如何,如果不是,我有哪些选择?
据我所知,截图还是可以的,高级用户可能会去系统磁盘上寻找实际的数据文件,所以请不要提及这些要点。这些代理是入门级操作员(大部分),我希望数据尽可能安全(欢迎额外指点)。
不,不可能完全安全地禁用检查。 chrome://inspect 如果我没记错的话,即使企业政策锁定生效,目前显然也能正常工作(这当然是一个错误)。顺便说一下,当一个应用程序被部署/加载为打包而不是加载它用于开发时,默认情况下禁用对开发工具的轻松访问。
最坏的情况,所有客户端数据都将被视为已泄露。为了安全起见,您需要将数据保存在受到良好保护的中央服务器上,拥有强大的身份验证系统,并根据需要提供数据(实施某种形式的 ACL?)。
您可以通过使用 Native Client 模块加密数据来阻止偶然的攻击,但最终您只是混淆了加密代码。坚定的攻击者可以破解本机代码模块并解密数据。
但是说真的如果破坏您的数据保护只需要一张截图,考虑一张纸和一支铅笔也可以。你担心的地方太多了。