注册
登录
运筹学
缓存安全信息是否安全?
返回
缓存安全信息是否安全?
作者:
昵称不能为空
发布时间:
2024-10-13 08:18:19 (29天前)
转自:
<div class =“excerpt”> 我一直在做一些 <span class =“result-highlight”> 研究 </跨度> 最近流行的Java安全框架(Spring Security和Apache Shiro)。我注意到这两个框架都支持缓存。 Apache Shiro甚至描述了它的模块: 缓存是Apache Shiro的API中的第一层公民,以确保这一点 安全 <span class =“result-highlight”> 操作 </跨度> 保持快速和高效。 我的问题是: 将安全信息缓存到是否安全是否安全 </DIV>
收藏
举报
3 条回复
0#
回复此人
只怕再见是故人
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 当浏览器缓存通过https传输的内容时,它将以加密状态存储。密钥存储在内存中,并在浏览器关闭时删除缓存和密钥。主要威胁是间谍软件,间谍软件可能仍然可以通过读取浏览器的内存来访问用于加密的密钥。但它总比没有好。 </p> <P> 服务器端的情况有所不同。攻击者如何访问缓存存储?如果机器受到损害,则无法存储密钥。除非Web服务器受到攻击,否则我会确保无法访问缓存。在这种情况下,我认为加密根本不起作用。 </p> </DIV>
编辑
1#
回复此人
࿏自ོ༾由ོ༽人͙⃡⌇
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 如果你全部缓存 的<strong> 在记忆中 </强> 我认为这是安全的。问题是当ehcache将数据存储到磁盘并且某人也可以访问计算机时。 </p> <P> 在生产中没有人可以访问服务器。 (只有管理员/部署者等。但他们可以直接访问数据库,应用程序服务器,日志和其他(他们可以调试应用程序:))。但所有这些人都是可信的) </p> <P> 如果你在服务器端缓存 - 这样做。 </p> </DIV>
编辑
登录
后才能参与评论
