- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
可以(或不能)做什么来防止 Web 应用程序中的信息泄露?
更具体地说,假设我们已合理保护服务器、传输和客户端主机(台式机/平板电脑/手机)。可以在客户端针对 f.ex 做什么。一个malicious -- 或 broken -- 浏览器扩展或浏览器环境中的其他威胁本身,以防止敏感数据从应用程序中泄漏?
假设我们正在开发一个应用程序来存储一些敏感的细节,这可能会激发一些定向但轻微的攻击,或者至少足以为市场上发现的漏洞定价。我们不是在谈论对核武器敏感的发射代码,但可能会使小公司破产。
所以一些子问题来设置舞台:
编辑: - 如果试图保护默认浏览环境是死路一条。如何创建安全的浏览环境?私有(private)模式,这个可以收藏吗?使用应用程序启动浏览器的特殊命令行参数。是否可以检测到他们的缺席以显示警告?您也会在移动设备上这样做吗?
最佳答案
What can be done at the client side against f.ex. a malicious -- or broken -- browser extension
很少。浏览器扩展代码作为您所运行平台的一部分运行,权限级别高于您。无法从该级别的妥协中恢复。
您所能做的就是嗅探已知的不良扩展,这些扩展会更改您可以从页面脚本中检测到的浏览器环境,如果存在则拒绝运行。
例如,对于提到的广告软件扩展,您可以检查页面文本中是否有意外插入的链接,或枚举 <script>
页面 DOM 中的元素不好 src
值。或者对于一些例如。 Chrome 扩展程序可能包含您可以嗅探的网络可访问成员。
但这对以下情况无效:
因此,除非您心中有一个特定的对手,否则不太值得。
Is it possible to prevent, or at least detect, a browser extension copying information from the rendered DOM and store/send it somewhere else?
来自网络脚本,没有。
Will it help to minimize the time sensitive data stays in the DOM?
不太可能。任何专门针对您的内容都可以在机会时刻获取数据;任何不针对您的东西(例如通用键盘记录器)可能不会在 DOM 中查找。
Is it better to force the user to "install" the app. (Pinned sites, add to home screen and such).
目前还不清楚这会有什么帮助;您的环境仍然会受到损害。
SSLOnly session cookie vs JWT in sessionStorage/localStorage
扩展代码可以访问两者,并且无论如何都可以在 session 的上下文中执行代码,因此没有区别。
关于javascript - 保护网络应用程序免受信息泄露,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30596572/
大家晚上好! 在当前的项目中,我遇到了相当令人担忧的内存泄漏,但我似乎无法修复它。 我让应用程序在标准使用情况下运行过夜,当我在 8 小时后醒来时,它消耗了约 750MB 内存,而它一开始的内存约为
class MyViewController: UIViewController { @IBOutlet weak var webView: UIWebView? override
我的 sql 处理程序有问题 A SQLiteConnection object for database '/data/data/.../databases/queueManager' was le
我在引用 block 本身内的“NSBlockOperation”时遇到麻烦。我需要检查操作是否被取消,并且似乎在启用 ARC 的项目中运行时,对“searchOperation”的任何访问都会泄漏。
public class ProgressCircleActivity extends AppCompatActivity { private ProgressDialog progressB
Activity 泄漏是我可以为当前问题想到的最具体的术语。如果有其他情况,请指正。 场景:我创建了一个简单的 Android 测试应用程序来解决我的问题。我有一个 Activity ,一个添加到 f
我正在尝试创建身份验证系统,如果设备关闭 (SCREEN_OFF) 超过 INTERVAL,该系统会弹出登录窗口。 我已经注册了一个 BroadcastReceiver 来监听可启动 Activity
我想知道如果生产 key 被泄露需要采取哪些步骤。幸运的是,情况并非如此,但还是很高兴知道。 特别是,如果简单地将旧 key 交换为新生成的 key ,会发生什么情况?由于它用于生成哈希,是否会破坏整
我正在使用 Leak Canary 来跟踪内存泄漏,它说以下内容被泄漏: static hk.o references ht.a leaks MainActivity instance hk.o 和
-(NSDate *)dateFromDate:(NSDate *)inDate withNewTime:(NSDateComponents *)inTimeComponents { NSCalend
当我使用 AudioToolBox 播放音乐时,内存泄漏严重。 AVAudioPlayer *newMusicPlayer = [[AVAudioPlayer alloc] initWithData:
我使用 OpenAL 在我的应用程序中播放声音。当我使用 Instruments 工具测试它时,它发现了泄漏: LeakedObject = GeneralBlock-512 大小 = 512 字节
我需要捕获桌面图像并处理其 RGB 数据,我正在使用 Quartz API 来执行相同的操作, 我面临的问题是内存使用率高, 请引用函数, 在这里编辑,该函数是通过 pThread 调用的;像这样的东
我的 Android 应用程序中有一个 MapActivity,它使用 osmdroid(Open Street Map for Android 库)显示 map 。 当我在此 MapActivity
我在 fragment 中使用 AdMob。有时我会看到以下堆栈 10-23 14:27:38.916: E/ActivityThread(21250): Activity com.applegrew
我正在使用以下方式访问我的 API key ;这似乎是 recommended way ;但是当我将我的应用程序上传到 Play 管理中心时,运行预发布报告时出现严重错误。它说“泄漏的 GCP API
一家 3rd 方安全咨询公司在我们的 Angular SPA/ASP.NET WebAPI 应用程序中发现了 区域下的风险。信息公开 ,我们被告知要解决。 风险是由于 Angular 应用程序的性质,
在 Android 中,当读取 MIFARE Classic 卡时,使用 MifareClassic.authenticateSectorWithKeyA(或 authenticateSectorWi
加载谷歌地图时在分析器中获取泄漏。我根据谷歌的示例代码创建了一个非常简单的 View Controller ,我发现我在加载 map 时遇到了泄漏。我相信泄漏是在 SDK 本身。有没有人遇到过这个问题
我是一名优秀的程序员,十分优秀!