Crittografia front-end-side: dove memorizzare la password durante la sessione?

1

al momento stiamo lavorando su una piccola applicazione in cui memorizziamo una serie di dati JSON provenienti da un editor di grafica basato su JS (pensiamo a una versione arricchita di this ) in un back-end basato su Rails. Vogliamo consentire agli utenti di archiviare i dati crittografati (AES, RSA, qualunque cosa), in cui noi, in quanto gestori delle applicazioni, non abbiamo la possibilità di decrittografare cosa c'è nel nostro DB - data una password sicura, ovviamente. Non c'è gestione degli account utente, niente. Le persone sono solo in grado di creare e modificare i loro grafici tramite un link segreto, niente di più niente di meno.

La password sarebbe quindi necessaria per crittografare / decrittografare il grafico in entrata e in uscita nel DB prima di modificare o salvare lo stato corrente. Ora, le domande concettuali che stiamo affrontando in questo momento sono le seguenti:

  1. memorizziamo la password durante la sessione? In caso contrario, l'utente dovrebbe inserire la password ogni volta che aggiorna il browser o desidera salvare lo stato corrente del suo grafico nel DB. Disagio ...

  2. Se - dal punto di vista dell'ingegneria del software - questo è applicabile: Dove questo tipo di informazioni viene memorizzato in generale? Quali sono le opzioni a parte i cookie?

  3. Se è così - dovremmo memorizzare la password semplice o c'è un modo per crittografare in qualche modo la password in modo che in caso di un cookie rubato un utente malintenzionato debba affrontare un gioco più difficile ottenere la password?

posta A. Neumann 21.03.2018 - 13:30
fonte

0 risposte

Leggi altre domande sui tag