在我的QT应用程序中,我需要下载某些数据。这些数据受到保护,用户需要登录网站才能下载数据。为了允许用户登录,我使用QWebEngineView显示我们网站的登录页面。用户输入其凭据。这将生成身份验证所需的 Cookie。我将生成的饼干存储在QNetworkCookieJar中。然后,我创建一个QNetworkAccessManager并将保存的QNetworkCookieJar添加到QNetworkAccessManager。然后,我使用QNetworkAccessManager下载数据。这一切都很好用。但是,在我的项目的安全审查中,有人担心登录页面受我的应用程序控制,因此我可以获取用户凭据(例如,通过观察登录页面上的击键(。
所以我的问题是:这种安全风险是真实的吗?我实际上可以获取用户凭据吗?如果是。我有哪些选项可以对用户进行身份验证并仍然避免任何安全漏洞?
是的,在Qt应用程序中,您始终可以捕获发送到小部件的任何击键。这同样适用于谷歌浏览器和几乎所有的网络浏览器。 用户在应用程序中输入数据,数据通过网络传递到网络,并通过线路传递到Web服务器。
在考虑安全风险时,您始终会考虑两件事。潜在损害和制作漏洞利用的可行性。 潜在的伤害很高,你无法控制。您可以控制的是创建漏洞利用的可行性。 考虑到您(或您的公司(控制代码,您可以非常难以利用您的应用程序知道凭据的事实。这将使风险非常低。
即使使用硬件加密狗之类的东西也会有问题,因为您必须将数据从加密狗传输到 Web 引擎。这仍然可以提供一种拦截它的方法。
尝试查找有关软件安全风险分析和缓解的讨论。https://security.stackexchange.com/,甚至还有一个关于它的SE网站。