logo标签列表

客户端加密是否有行业标准?

javascriptcryptography
3

网络上有很多关于JavaScript加密的危险性的文章,包括这个stackoverflow问题和它链接到的文章留言板

我的用户需要使用密码访问我们的网站。虽然连接是使用SSL建立的,但我们还希望提供任何可能的额外保护(即使它们是徒劳的)来防止用户机器/浏览器中的恶意软件。

是否有任何行业标准/最佳实践用于客户端加密,以克服上述链接中提到的所有限制?

注意:当我们最终选择一个库时,它是jCryption,因为它支持非对称加密。

2
当然可以在JS中进行客户端加密,但你仍会遇到第二个链接所提到的基本问题。 - CodesInChaos
我知道这一点 - 因此有了“即使它们是徒劳的” :) - Vivek Kodira
2个回答
1

斯坦福Javascript加密库(托管http://crypto.stanford.edu/sjcl/在斯坦福的服务器上或在GitHub上)是斯坦福计算机安全实验室的一个项目,旨在构建一个安全、强大、快速、小巧、易于使用、跨浏览器的Javascript密码学库。

谢谢。我会进一步研究这个库。我已经评估过jCryption,并认为它也很好。 - Vivek Kodira
0

这里尝试整理一些可能的标准:

  1. 绝不能将客户端加密用作 SSL 的替代方案
  2. 最好涉及非对称加密(否则读取代码、确定密钥并进行反向工程将变得轻而易举
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接