>假设我们有一个令牌,它应该是超级安全的,它位于javascript变量的内存中。 黑客是否有可能从内存中获取令牌?
我正在评估是否应该为高度敏感的数据添加额外的加密。
这可能包括通过 JSON 或 CSV 加载到浏览器中的计算数据。 我们希望确保它免受任何类型的进程的影响,这些进程可能能够读取内存中的javascript浏览器对象。
是的(可能)。 根据执行javascript的内容,无论是服务器上的nodejs,还是客户端上的浏览器,它都在某个地方的进程中运行。 大多数现代操作系统保护用户进程中的数据免受以其他用户身份运行的进程的影响。 但是,以同一用户身份运行的进程通常能够相互影响。 如果进程需要将 javascript 令牌的敏感内存内容与可能已获得对同一操作系统的访问权限的攻击者隔离,则必须以独立于攻击者的用户身份运行进程以确保任何安全。 如果您在浏览器中运行它,那么请考虑该 javascript 有效负载中的所有内容都可以被恶意用户或在无辜用户的操作系统上运行的恶意软件读取(和写入)。 如果您在您控制的环境中运行 javascript,那么您当然可以通过以同一操作系统上的其他(恶意)用户无法访问的用户身份运行它来隔离该进程。
如果要发送到在不受信任的客户端环境中运行的 JavaScript 应用程序的令牌包含您不想公开的信息,请在服务器端对其进行加密,并且不要将密钥发送到客户端进行解密。