一段时间以来,我一直在 google 上搜索有关应用程序密码和 SQLite 安全性的信息,但我发现的任何内容都无法真正回答我的问题。
这是我想弄清楚的:
1) 我的应用程序将有一个可选的密码事件,该事件将在首次打开应用程序时调用。我对此的问题是 a) 如果我通过 android 首选项或 SQLite 数据库存储密码,我如何确保密码的安全性和隐私性,以及 b) 应如何处理密码恢复?
关于上面的 b),我考虑过在启用密码功能时需要一个电子邮件地址,以及在请求密码恢复时使用的密码提示问题。成功回答提示问题后,密码将通过电子邮件发送到提交的电子邮件地址。我对电子邮件方法的安全性和隐私性没有完全的信心,尤其是当用户连接到开放的公共(public)无线网络时发送电子邮件。
2) 我的应用程序将使用 SQLite 数据库,如果用户有的话,该数据库将存储在 SD 卡上。无论是存储在手机上还是存储在 SD 卡上,我有哪些数据加密选项,这对应用程序性能有何影响?
提前感谢您花时间回答这些问题。我认为可能还有其他开发人员也在为同样的问题而苦苦挣扎。
最佳答案
1) 密码恢复是危险的。问题的答案会削弱密码的强度,这是最薄弱环节的原则。 Sara Palin's email hack之所以成为可能,是因为这个(非常)不安全的特性。此外,如果您以“可恢复格式”存储密码,如 AES 等 block 密码或 RC4 等流密码或 RSA 等非对称密码,那么您明显违反了 CWE-257。 .如果你真的需要这个功能,你必须要求用户重置他们的密码,如果他们不知道,那你为什么要告诉他们?
必须始终使用安全消息摘要对密码进行哈希处理。目前许多消息摘要函数是不安全的,md4、md5、sha0 和 sha1 都非常破烂,不应该用于密码。目前 sha2 家族的任何成员都是最好用的函数,我推荐 SHA-256。 NIST 目前正在举办 sha3 竞赛,直到 2012 年的某个时候才会最终确定。
密码也必须用一个大的随机值“加盐”。这可能是您数据库中的另一列,然后在将其传递给您的消息摘要函数之前附加到纯文本密码。这使得字典攻击变得不可能,除非攻击者可以获得盐,这也使得预先计算的攻击需要更多的资源才能成功进行。尽管众所周知,加盐不会阻止彩虹表,它只是意味着您需要一组更大的彩虹表。
2) 您打算将加密数据库的 key 放在哪里? Sqlite 只是一个文件,您可以对其进行加密,然后在应用程序启动时对其进行解密,这只会增加一些加载时间,但在运行时它会一样快。真正的问题是绝对没有地方您可以在设备上放置攻击者无法获取的 secret 。攻击者对设备的控制比您更多,攻击者可以越狱设备并为所欲为。即使 key 是在运行时传输的,它仍然可以通过查看设备的内存来获得。任何加密数据库的努力都可能被破坏,这可能会使它变得更加困难,但它不会阻止熟练的黑客。
关于database - 应用程序密码和 SQLite 安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2694524/
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
我想用ruby编写一个小的命令行实用程序并将其作为gem分发。我知道安装后,Guard、Sass和Thor等某些gem可以从命令行自行运行。为了让gem像二进制文件一样可用,我需要在我的gemspec中指定什么。 最佳答案 Gem::Specification.newdo|s|...s.executable='name_of_executable'...endhttp://docs.rubygems.org/read/chapter/20 关于ruby-在Ruby中编写命令行实用程序
我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我是一个Rails初学者,但我想从我的RailsView(html.haml文件)中查看Ruby变量的内容。我试图在ruby中打印出变量(认为它会在终端中出现),但没有得到任何结果。有什么建议吗?我知道Rails调试器,但更喜欢使用inspect来打印我的变量。 最佳答案 您可以在View中使用puts方法将信息输出到服务器控制台。您应该能够在View中的任何位置使用Haml执行以下操作:-puts@my_variable.inspect 关于ruby-on-rails-如何在我的R
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
