エンタープライズアプリケーションプロパティ:データ暗号化転送の要求
899 ワード
場合によっては、ウェブサイトの提出データの内容は非常に機密で、外部が嗅ぎ取りの手段でキャプチャすることを許さない(あるいはキャプチャしても明文の内容が見えない)、このようにみんなの第一反応はSSLを使って接続することです.
しかし、SSLだけでは本当のニーズを満たすことはできません.FireFoxのようなブラウザでは、プラグイン(FireBugsなど)を通じて具体的な提出データのアドレスと内容を見ることができ、本当のハッカーはこの手段で提出データを切り取ってウェブサイトを攻撃しようとする目的を達成する可能性があります.このように、この接続データを提出する前に暗号化する必要があります.
CMSPADにはSecurityKeyという技術があり、クライアントがコミットする前に要求データを暗号化することをサポートしている.FireBugsのようなデバッグプラグインを使用しても、暗号化された内容を見るだけで、鍵はサーバ側が制御し、ユーザーは定期的に鍵を変更して有効な黒防止目的を達成することができる.
さらにSecurityKey技術の使用も極めて簡便で、config.phpまたはglobalをロードする.phpの前に次のコードを追加します.
これにより,使用する鍵によってクライアントは自動的に要求暗号化を行う.
これで、SecurityKeyテクノロジーにより、以下の目的を達成しました.ハッカーによる要求データの盗難防止 登録機/貼付機によるデータの自動提出防止 .認証コードは必要ありません.これはよくないので、ユーザー体験 に影響します.
注:カーネルJSコードがキャッシュされている場合は、鍵の内容を変更するたびにカーネルJSコードキャッシュを削除して、鍵の正常な適用を保証する必要があります.
しかし、SSLだけでは本当のニーズを満たすことはできません.FireFoxのようなブラウザでは、プラグイン(FireBugsなど)を通じて具体的な提出データのアドレスと内容を見ることができ、本当のハッカーはこの手段で提出データを切り取ってウェブサイトを攻撃しようとする目的を達成する可能性があります.このように、この接続データを提出する前に暗号化する必要があります.
CMSPADにはSecurityKeyという技術があり、クライアントがコミットする前に要求データを暗号化することをサポートしている.FireBugsのようなデバッグプラグインを使用しても、暗号化された内容を見るだけで、鍵はサーバ側が制御し、ユーザーは定期的に鍵を変更して有効な黒防止目的を達成することができる.
さらにSecurityKey技術の使用も極めて簡便で、config.phpまたはglobalをロードする.phpの前に次のコードを追加します.
define('CMSPAD_SECURITY_KEY', ' ');これにより,使用する鍵によってクライアントは自動的に要求暗号化を行う.
これで、SecurityKeyテクノロジーにより、以下の目的を達成しました.
注:カーネルJSコードがキャッシュされている場合は、鍵の内容を変更するたびにカーネルJSコードキャッシュを削除して、鍵の正常な適用を保証する必要があります.