- From: OOO <othree@gmail.com>
- Date: Wed, 6 Aug 2014 12:15:16 +0800
- To: "Yang.Lyu" <Yang.Lyu@lianbi.com.cn>
- Cc: formateric@gmail.com, W3C HTML5 中文興趣小組 <public-html-ig-zh@w3.org>, Xiaoqian Cindy Wu <xiaoqian@w3.org>, Zhiqiang Zhang <zqzhang.cas@gmail.com>, 彦兵 毕 <yanbing.bi@lianbi.com.cn>
第一點 AES 的加解密本來就是大家都知道的 重點在於 key 不要外洩,這類加密目前重點在於破解所需要的計算時間太高 第三點其實就可以達到你的目標 https 其實有很完整的一套認證流程 所以才會要你跟 CA 買 cert 瀏覽器只認 CA 發的 cert 就是為了確保這東西不是路上任意人自己做的東西 我覺得你可以先研究這塊 然後 https 其實是加解密的流程 加解密用的方法是不一定的,AES 也是選項之一 如果 https 還不夠 確實是還會有加密過再送出的作法 然後你的情形是希望有自己的加密演算法而且不公開 這時候比較好發佈的就是 java 和 flash 不過都要 client 有安裝 plugin 而且對 mobile 環境不友善 2014-08-06 12:00 GMT+08:00 Yang.Lyu <Yang.Lyu@lianbi.com.cn>: > 感谢二位的热心解答。 > > 我来仔细阐述一下我刚刚的问题,刚刚提到的B/S指的是 Browser to Server. > > 1)假设是使用 AES 加密方式 > Javascript 必然会涉及到 加密与解密的算法核心函数,那么会对外彻底暴露出去。( 我的个人理解 ) > 那么,有没有一种方式能够隐藏掉这个写有算法的脚本文件呢? > > 2)假设是使用过期的key > - 算法暴露是必然,但key能动态变化 > - 用户于当前页悬停时间过长则会导致key失效,当然也可以不对key设置过期时间,将其变成一次性的key,用完即弃。 > > 3)假设使用 https > - 客户端与服务器交互的次数多 比较耗费服务器资源 > - 有可能会提示不安全的站点 > > 4)关于使用证书,这种方式不利于用户体验,所以放弃掉。 > > 5)Com 组建 > - 针对PC客户端,但是移动设备似乎不能支持 > - 针对浏览器分别开发,成本高 > > - > 在这里,我在核心问题其实就是如何不暴露加密解密函数,如果是将其嵌入在JavaScript中,如何不会被发现这个脚本呢? > > > > — > 蜜圈项目经理 吕阳 > 185-0285-3025 > > 在 2014年8月6日 上午11:27:36, OOO (othree@gmail.com) 写到: > > 不知道你說的 C/S 是不是 client side, B/S 是不是 browser side > 不過這些加密機制本來就都是公開的演算法 > 如果是未公開的加密演算法自然不該放到 Browser 端 > > W3C 那個 API 也只是把這些已知的加密實做放到瀏覽器 > 不然本來要透過外部讀入 js 檔才能加密 > 而且有些檔案很大會影響 Web App 的效能 > > > > > 2014-08-06 9:25 GMT+08:00 Yang.Lyu <Yang.Lyu@lianbi.com.cn>: >> Dear All: >> >> 大家好,刚接触前端不太久。心里存在很多莫名其妙的疑问。 >> 请教大家一个关于前端数据加密的问题。 >> >> 我在印象里,C/S结构的应用可以通过加解密数据与服务器之间通讯,但是B/S类型的应用如何处理呢? >> 所有的加解密手段不是都暴露出去了吗? >> 比如AES加密方式,当然证书与Https类型不考虑,对于用户而言似乎不太友好。 >> >> 所以,请教大家,有更好的办法吗? >> >> W3c似乎有一个Web Cryptography API草案,大家怎么看呢? >> >> >> — >> 蜜圈项目经理 吕阳 >> 185-0285-3025 > > > > -- > OOO -- OOO
Received on Wednesday, 6 August 2014 04:16:04 UTC