누구에게도 공개해서는 안되는 중요한 정보를 얻기 위해 속성 파일을 사용해야합니다.
내 질문은 : 보안 문제와 관련하여 속성 파일을 사용하는 것이 안전한 옵션입니까?
이는 더 큰 컨텍스트 (전체 솔루션의 보안 정책)와 보안을 유지하려는 데이터의 특성에 따라 다릅니다.
대부분의 환경에서 보안 네트워크는 방화벽 등을 사용하여 구성되며 내부에는 민감한 정보 (예 : API 키)도 속성 파일 등에 일반 텍스트로 저장됩니다. 이러한 정보를 암호화 할 수있는보다 정교한 솔루션이 있지만 상당한 설정이 필요합니다.
어떤 사람들은 소스에 암호화 키를 삽입하여 속성 파일을 암호화 한 다음 소스를 난독 화하여 암호화 키를 숨기도록 제안하지만 이는 모호함을 통한 보안이므로 피해야합니다.
사용자 등을 인증하기 위해 비밀번호 정보를 저장하는 경우에는 솔트 된 비밀번호 해시를 저장해야합니다.
편집 :
아마도 가장 좋은 방법 중 하나는 속성 파일을 암호화하고 운영자가 앱을 실행할 때마다 암호화 키를 입력하도록하는 것입니다. 시작합니다 (영구 저장소에 암호화 키를 저장하지 않기 위해). 그러나 공격자는 해독 된 값을 얻기 위해 여전히 프로세스 메모리를 읽을 수 있습니다.
이것이 대부분의 솔루션이 이미 서버에 액세스 한 공격자로부터 보호하기보다는 네트워크 보안에 초점을 맞추는 이유입니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다