मेरे ऐप को किसी तीसरे पक्ष से एक एसएसएल यूआरएल पढ़ना होगा। मैं अपने स्वयं के डेटाबेस में तीसरे पक्ष के क्रेडेंशियल्स को सबसे अच्छी तरह से कैसे स्टोर करूं, जो तीसरे पक्ष के क्रेडेंशियल से समझौता होने से बचाता है? पूर्ण सुरक्षा और व्यावहारिकता दोनों पर विचार करें। क्रेडेंशियल्स को एक-तरफा हैशिंग उपयोगी नहीं है क्योंकि मुझे एसएसएल कॉल के लिए सादे टेक्स्ट में क्रेडेंशियल्स को पुनर्स्थापित करना होगा। मैं Google ऐप इंजन पर पायथन का उपयोग कर रहा हूं, और मेरा ऐप Google प्रमाण-पत्रों के साथ प्रमाणीकृत है।i * * मेरे डेटाबेस में तीसरे पक्ष के प्रमाण पत्र स्टोर करना होगा। सबसे अच्छा तरीका?
- उदाहरण के लिए एन्क्रिप्टेड प्रमाण-पत्र एईएस और कहीं और एन्क्रिप्शन कुंजी को बचाने (बस समस्या से चलता है), या derive it from the credentials and keep the algorithm secret (बस समस्या चलता है)
- एक synchronous stream cipher का उपयोग कर एन्क्रिप्ट साख, निकाले जाते हैं क्रेडेंशियल्स और keep the algorithm secret (बस समस्या चलता है) से (नहीं) एन्ट्रापी
- तृतीय पक्ष प्रमाण-पत्रों को संग्रहीत करने के लिए समर्पित एक अलग वेब ऐप पर, तृतीय पक्ष प्रमाण-पत्र प्राप्त करने के लिए एक एसएसएल यूआरएल प्रदान करें, यह यूआरएल Google क्रेडेंशियल्स (मेरे ऐप के समान) के साथ एक्सेस किया गया है और दूसरे को प्राधिकरण स्थानांतरित करने के लिए ऑथ्सब या कुछ का उपयोग कर सकता है वेब अप्प। यह अधिक सुरक्षित लगता है क्योंकि यह एक मामूली सरल वेबैप हैक करना कठिन है, और यदि मेरा जटिल मुख्य ऐप समझौता हो जाता है तो तीसरे पक्ष के प्रमाण पत्र प्रकट नहीं होते हैं।
आप सभी दृष्टिकोणों के बारे में क्या सोचते हैं?
यह स्पष्ट नहीं है कि आप क्या पूछ रहे हैं? एक एसएसएल यूआरएल उस पर भेजे गए क्रेडेंशियल्स को एन्क्रिप्ट करने के लिए है। –
मैं अपने डेटाबेस –
में बाहरी प्रमाण-पत्रों को संग्रहीत करने के लिए डर रहा हूं, मैं यह देखने में असफल रहा कि तीसरा दृष्टिकोण समस्या को कैसे नहीं बढ़ा रहा है। यह एक ही ऐप के बजाय इसे एक अलग ऐप पर ले जाता है। –