al momento stiamo lavorando su una piccola applicazione in cui memorizziamo una serie di dati JSON provenienti da un editor di grafica basato su JS (pensiamo a una versione arricchita di this ) in un back-end basato su Rails. Vogliamo consentire agli utenti di archiviare i dati crittografati (AES, RSA, qualunque cosa), in cui noi, in quanto gestori delle applicazioni, non abbiamo la possibilità di decrittografare cosa c'è nel nostro DB - data una password sicura, ovviamente. Non c'è gestione degli account utente, niente. Le persone sono solo in grado di creare e modificare i loro grafici tramite un link segreto, niente di più niente di meno.
La password sarebbe quindi necessaria per crittografare / decrittografare il grafico in entrata e in uscita nel DB prima di modificare o salvare lo stato corrente. Ora, le domande concettuali che stiamo affrontando in questo momento sono le seguenti:
-
memorizziamo la password durante la sessione? In caso contrario, l'utente dovrebbe inserire la password ogni volta che aggiorna il browser o desidera salvare lo stato corrente del suo grafico nel DB. Disagio ...
-
Se - dal punto di vista dell'ingegneria del software - questo è applicabile: Dove questo tipo di informazioni viene memorizzato in generale? Quali sono le opzioni a parte i cookie?
-
Se è così - dovremmo memorizzare la password semplice o c'è un modo per crittografare in qualche modo la password in modo che in caso di un cookie rubato un utente malintenzionato debba affrontare un gioco più difficile ottenere la password?