- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我目前正在为使用富客户端的客户构建一个 Web 应用程序。 (弹性)
在此应用程序中,用户有一个密码,以及在整个系统中用于识别目的的一些其他关键属性。 (例如,母亲的娘家姓)。
用户最初使用密码登录。然后,在整个应用程序中,每当用户要执行“破坏性”操作时,他们都需要输入这些其他识别数据之一。
我的客户要求我在登录后加载这些属性,将它们存储在内存中,并在客户端上对这些数据执行验证,然后再调用服务器执行破坏性操作。
我觉得这是一个潜在的安全风险,因为有可能(尽管很难)欺骗网络客户端,并检索通过网络发送的数据。我的客户认为我偏执,并敦促我前进。
需要考虑的一些关键点:
因此,在很大程度上,该应用程序相当安全。
然而,我的直觉告诉我,虽然破解数据可能很困难,但与我们根本不发送数据并在服务器上进行验证相比,它的安全性仍然较低。
我是偏执狂,还是真正的安全风险?
如果这是一个有效的问题,是否有任何最佳实践文档可供我向客户指出以证实我的观点?
最佳答案
检查应该在服务器端完成。
如果未经授权的人可以访问 session ID,他可以随时使用 session ID 调用服务器并下载个人属性。那就是将私有(private)信息泄露给攻击者。
更重要的是,攻击者并不真正关心您在 flex 应用程序中执行的验证。他只会使用网络嗅探器来查看正在进行的服务器调用 - 由于这些服务器调用不需要个人属性,他可以绕过您的安全模型。
简而言之,所有的安全验证都应该在服务器端完成。这是一个常见的弱点,您可以在此页面上阅读更多相关信息 http://cwe.mitre.org/data/definitions/602.html
关于web-applications - 富客户端中的网络安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3087549/
我将从 ColdFusion 8 迁移到 ColdFusion 10。 目前,在我的Unix根目录下,我只有1个Application.cfm,在这个根目录下我有大约10个子目录(以前的程序员就是这样
这个问题在这里已经有了答案: Is it possible to write a program in Java without main() using JDK 1.7 or higher? [d
我是编写 Windows 服务应用程序的新手,并且遇到了问题。 我用 Delphi 编写了一个普通的 Windows 应用程序来检查和调试代码的主要部分,现在必须将其转换为 NT 服务。 我的代码必须
我在 Visual Studio 2013 中运行它。 对于 Application.Current.Shutdown 我得到: “Application”是“System.Windows.Appli
给定以下 C++ 代码“mini.cpp”: #include "iostream" using namespace std; int main() { cout << "Hello Worl
什么是“服务器应用程序”?我被要求写一篇关于“服务器应用程序”中的错误的文章,但我不熟悉确切的术语。它们只是网络应用程序,还是其他东西? 最佳答案 “服务器应用程序”是一种应用程序,它等待来自其他应用
JavaFX 应用程序类必须扩展 javafx.application.Application package automationFramework import java.util.concurr
I have implemented deeplinking in my application that open my app (if available) but my app opens
我被困在一个非常基本的问题上。我使用 JavaFX 创建了一个简单的 hello world 程序,它在 JDK 1.8 上运行良好。但是当我切换到 JDK-11 时,它会抛出以下异常: Error:
我可以让Application Insights显示正在运行的每小时使用情况日志,但是有没有一种方法可以每小时显示一次平均使用情况,以查看必须在一天中的哪个时段使用网站? 最佳答案 在您的资源的概览
有谁知道为什么在.NET应用程序中实现Application Insights时不会收集用户代理信息,却能够在浏览器中收集统计信息? 我很希望能够针对特定的用户代理字符串过滤出请求,但是看起来我无法看
我有多个应用程序使用 Application Insights for Production Data。我正在尝试使用 City 遥测字段来映射我们当前的用户。这些数据的跟踪似乎非常不一致,并且在大多
有没有办法在 ASP.NET Web 应用程序中禁用 Application Insights?假设我想关闭生产中运行的应用程序中的所有数据收集。 最佳答案 如果 ikey 在 Application
如何在 Azure Application Insights 中将时差转换为毫秒 let startTime = todatetime('2017-05-15T17:02:23.7148691Z');
我正在修改一个用 Coldfusion 编码的现有 Web 应用程序。在现有代码中,大部分文件夹包含一个 Application.cfm 文件,该文件设置应用程序变量 但是,我对这些应用程序的部分修改
我在 Application Insights Analytics 中有一些数据,它有一个动态对象作为自定义维度的属性。例如: | timestamp | name
首先,我需要的是-n WebBrowser-s,每个都在自己的窗口中执行自己的工作。用户应该能够看到所有这些内容,或者仅看到其中一个(或不显示任何内容),并且能够对每一个执行命令。有一个主要形式,没有
我已收到以下代码以添加到封闭代码(受密码保护)中,以便可以发现错误。 On Error Resume Next: Err.Clear Application.SetOption "Error Trap
我正在使用 Delphi 7。我试图在非 VCL 单元中添加一个调用“application.processmessages”的过程。我收到错误“未声明的标识符:应用程序”。 如何从非 vcl 单元引
考虑一个非外汇现有应用程序,我们将其称为Business。 Business 公开一个 Model 对象,该对象又公开一些属性。 Model 还接受这些属性的监听器。 我的问题是关于向此类应用程序添加
我是一名优秀的程序员,十分优秀!