是否应该使用 HTML5 数据库来存储任何形式的私人信息?
假设我们有以下场景;
您正在浏览一个网络邮件客户端,它使用网络数据库来存储邮件草稿,在您写完一些信息后关闭网络浏览器。是什么阻止我访问这些信息?
如果网页在打开用户脚本时试图清除旧信息,很容易阻止网站完全加载,然后搜索数据库。此外,可以通过网络邮件客户端的源轻松获得数据库和表的名称。
【问题讨论】:
me 是谁?如果是用户本人,没有什么可以阻止他获取这些信息——毕竟他撰写了草稿并发送了那些邮件。在许多方面,它类似于 cookie - 最终用户始终可以读取它的值、修改它甚至删除它。
标签: sql database security html
外部方访问用户数据库的唯一方法是直接访问用户的计算机,或者如果您的网络应用存在安全漏洞(例如 XSS - 跨站脚本)。否则,标准浏览器安全性规定,只有在来自某个域的网页中运行的脚本才能访问在同一域(相同的源策略)上创建/存储的数据库,阻止您发出跨域 Ajax 请求或读取其他网站的 cookie,所有这些都可以通过 XSS 攻击来克服。
对我来说,存储草稿电子邮件似乎相当明智,而信用卡详细信息、密码等内容应仅存储在服务器端。您需要根据要存储的内容来决定应该将哪些内容存储在哪里。
【讨论】:
是否应该使用 HTML5 数据库来存储任何类型的私人信息?
取决于信息的敏感程度。我不想将信用卡详细信息留在任何地方。
您正在浏览一个网络邮件客户端,它使用网络数据库来存储邮件草稿,在您写完一些信息后关闭网络浏览器。是什么阻止我访问这些信息?
假设您没有对计算机的物理访问权限(在这种情况下,用户需要采取相对极端的安全措施)并且您没有运行电子邮件服务(在这种情况下,您需要访问电子邮件)然后标准浏览器安全性阻止您。
【讨论】: