私はajaxポータルで作業しています。私のクライアントはそれをかなり安全にしたいと思っていますが、SSLに対処したくありません。保存する超機密データはありませんので、ページが初期化されるときにカスタムの "ハンドシェイク"を行います。非対称キーとシンメトリックキーストレージ
セッションごとに、私は非対称キーと対称キーの2つの新しいセットを扱っているので、これらのキーをどのように扱うかを知りたいと思います。これはおそらく共有ホスト上に存在することになり、その場合はセッションファイルが本当に信頼できないものがどこからでも読み込まれています...
私はセッションファイルにいくつかの情報を右のキーは、データベースにあります。 (うーん、私は思う:))...今は、ユーザーセッションが終了したときにデータベースからキーを削除したいので、無駄なキーでいっぱいになったテーブルで終わることはありません。
私がそれが悪いと分かっていたとしても、ウィンドウ/ブラウザを閉じるときに、私はajaxコールを試しました...これは本当に悪くて矛盾しているので、このオプションは間違いです。私は、SSLハンドルをどうするか思ったんだけど:
は、私の質問は...私はまた、より多くの日のカップルよりも、すべてのキーデートを消去するためにcronジョブについて考え、それは一種の私には「未完」と感じますその鍵?ユーザーセッションが終了している間、それらはどこに保存されますか?これをどうやって対処するのですか?
EDIT
うん、私はこの質問がそれにつながることが知られている必要があります。
私はsslが最良の選択肢であり、自分のアプリケーションをコーディングしていることは残念です。私はそれについて私のクライアントにもう少し話しますが、私はほとんど希望がありません。もし彼がまだhttpに行きたいと思うなら、私は自分のポイントをprooveするために契約を失うことはないでしょう。私はその無差別なデータを保護するための代替手段を用意しています(ログイン情報、クレジットカードなし...)。
システムが完全に安全でないため、「かなり安全です」は適切です。 「かなり安全」とは、wiresharkをダウンロードしたばかりのハッカーが、中間の攻撃をしている人をするためにYouTubeでビデオを見たことができないことを意味します。最近いくつかのティーンエイジャーが恥をかかせている数十億のゲーム企業。
正しい答えは、私の質問の一部に答えたナスコに行き、明らかに推薦しました。
「あなたはどうやって対処しますか/これに対処しますか?」私はSSLを主張するだろう!最近、証明書はチップとして安価です。自分のIMOを書くよりも、実装が速く、安定しており、より安全です。そして速くは、クライアントにとってより安価であることを意味します。 – Tak
私の考えはまさに私が説明しようとしたものです...とにかく彼はそれについて頑固だったので、私はすでにセッション通信を暗号化するためのハンドシェイクの実装を書いていました。今、私は、ユーザーがセッションを終了したときに生成されたすべてのキーを格納して削除する最良の方法について考えています。私が言ったように、私は現在、それらをデータベースに保管しています。ご回答有難うございます。 – HypnoToad
独自の暗号化を決して実装しないでください! SSLを使用します。適切に署名された証明書の支払いを希望しない場合は、自己署名証明書を使用してください。 –