javascript - 是否可以通过外部方式从 WebApp 中从内存中的 javascript 对象中获取数据?
问题描述
假设我们有一个应该超级安全的令牌,它位于内存中的 javascript 变量中。黑客有可能从内存中获取令牌吗?
我正在评估是否应该为高度敏感的数据添加额外的加密。
这可能包括通过 JSON 或 CSV 加载到浏览器中的计算数据。我们希望确保它不受任何可能读取内存中 javascript 浏览器对象的进程的影响。
解决方案
是的(可能)。根据执行 javascript 的内容,无论是服务器上的 nodejs 还是客户端上的浏览器,它都是在某处的进程中运行。大多数现代操作系统保护用户进程中的数据免受以不同用户身份运行的进程。但是,以同一用户身份运行的进程通常具有相互影响的能力。如果您的进程需要将 javascript 令牌的敏感内存内容与可能已获得对同一操作系统的访问权限的攻击者隔离开来,则您必须以与攻击者不同的用户身份运行该进程以确保安全。如果您在浏览器中运行它,那么请考虑该 javascript 有效负载中的所有内容都可以被恶意用户读取(和可写入),或者被运行在无辜用户操作系统上的恶意软件读取。如果您在您控制的环境中运行 javascript,
如果您要发送到在不受信任的客户端环境上运行的 javascript 应用程序的令牌包含您不想公开的信息,则在服务器端对其进行加密,并且不要将密钥发送到客户端以对其进行解密。
推荐阅读
- c++ - 管理到本机值类转换:转换指针是否安全?
- java - 等待 IO 的线程是否也会阻塞 CPU 内核?
- reactjs - activeClassName 如何与 Link 组件一起使用?
- java - 获取分成几部分的字符串长度
- rust - 是否可以定义重新分配到 std::vec::Vec 的增量因子?
- python - Google Cloud Tasks ImportError:无法导入名称“resource_pb2”
- cassandra-3.0 - 为什么我的带双引号的 cql 查询不起作用但带单引号的查询有效?
- python - 如何从 pandas.value_counts 获取每个变量的最大值?
- ios - 如何在没有底层 UIScrollView 的 UINavigationItem 上显示 UISearchController?
- java - 基于 IntelliJ 热插拔本地 tomcat Ant 部署