是否可以通过外部方式从 WebApp 的内存 javascript 对象中获取数据?
Is it possible to grab data from in memory javascript objects from a WebApp via external means?
假设我们有一个超级安全的令牌,它位于 javascript 变量的内存中。黑客有没有可能从内存中抓取令牌?
我正在评估是否应该为高度敏感的数据添加额外的加密技术。
这可能包括通过 JSON 或 CSV 加载到浏览器中的计算数据。我们要确保它不受任何可能读取内存中 javascript 浏览器对象的进程的影响。
是(可能)。根据执行 javascript 的内容,无论是服务器上的 nodejs 还是客户端上的浏览器,它 是 运行 在某处的进程中。大多数现代操作系统保护用户进程中的数据免受进程 运行ning 作为不同用户的影响。但是,作为同一用户的进程 运行ning 通常具有相互影响的能力。如果您的进程需要将 javascript 令牌的敏感内存内容与可能获得同一操作系统访问权限的攻击者隔离开来,则您必须 运行 作为与攻击者不同的用户来处理进程,才能获得任何安全。如果您 运行 在浏览器中使用它,那么请考虑该 javascript 负载中的所有内容都可以被恶意用户或操作系统上的恶意软件 运行 读取(和写入)一个无辜的用户。如果您在您控制的环境中 运行ning javascript,那么您当然可以通过 运行 将其作为其他(恶意)用户无法访问的用户来隔离该进程同一个操作系统。
如果您要发送到 javascript 应用程序 运行 在不受信任的客户端环境中包含您不想制作的信息 public,则对其进行加密 server-side,并且不要将密钥发送到客户端进行解密。
假设我们有一个超级安全的令牌,它位于 javascript 变量的内存中。黑客有没有可能从内存中抓取令牌?
我正在评估是否应该为高度敏感的数据添加额外的加密技术。
这可能包括通过 JSON 或 CSV 加载到浏览器中的计算数据。我们要确保它不受任何可能读取内存中 javascript 浏览器对象的进程的影响。
是(可能)。根据执行 javascript 的内容,无论是服务器上的 nodejs 还是客户端上的浏览器,它 是 运行 在某处的进程中。大多数现代操作系统保护用户进程中的数据免受进程 运行ning 作为不同用户的影响。但是,作为同一用户的进程 运行ning 通常具有相互影响的能力。如果您的进程需要将 javascript 令牌的敏感内存内容与可能获得同一操作系统访问权限的攻击者隔离开来,则您必须 运行 作为与攻击者不同的用户来处理进程,才能获得任何安全。如果您 运行 在浏览器中使用它,那么请考虑该 javascript 负载中的所有内容都可以被恶意用户或操作系统上的恶意软件 运行 读取(和写入)一个无辜的用户。如果您在您控制的环境中 运行ning javascript,那么您当然可以通过 运行 将其作为其他(恶意)用户无法访问的用户来隔离该进程同一个操作系统。
如果您要发送到 javascript 应用程序 运行 在不受信任的客户端环境中包含您不想制作的信息 public,则对其进行加密 server-side,并且不要将密钥发送到客户端进行解密。