Защита паролем автономного приложения HTML5 - PullRequest
Новая
       7

Защита паролем автономного приложения HTML5

4 голосов
/ 16 сентября 2010

У меня есть приложение HTML5, которое может работать в автономном режиме.Однако мне нужно защитить паролем каталог, в котором находится это приложение, чтобы разрешить доступ только авторизованным пользователям.Первоначально я использовал страницу входа в PHP, которая устанавливала cookie (вне каталога приложения), а затем перенаправлялась в каталог приложения.Приложение (JavaScript) проверяет наличие cookie и, если оно есть, позволяет пользователю запускать приложение.Если нет, он перенаправляет их обратно из каталога приложения.

Проблема этого метода заключается в том, что все файлы в каталоге по-прежнему доступны, если на них есть прямая ссылка (что я не хочу).Я не хочу, чтобы пользователи проходили аутентификацию каждый раз, когда они попадают в каталог (это однократный процесс аутентификации; файл cookie существует, чтобы им никогда не приходилось вводить свое имя пользователя / пароль), и я также хочу иметь стилизованныйФорма входа (т.е. не используется поле входа в браузер по умолчанию для проверки подлинности http).

Наконец, поскольку это автономное приложение HTML5, я не могу включить любой код PHP в само приложение.

Есть предложения?

1 Ответ

1 голос
/ 01 мая 2011

Это не похоже на то, что вы могли бы сделать из Javascript. Сценарию необходим доступ к файловой системе, чтобы ограничить доступ к папке, не так ли?

Если эта функция не предоставляется браузером через API javascript, я не думаю, что это будет возможно. Похоже, что это будет полезная функция.

Возможно, вы могли бы зашифровать жизненно важные данные, но, кроме замедления работы приложения, я не уверен, что он будет полезен, поскольку все необходимые ключи также должны храниться локально ...

Так как общее правило безопасности в Интернете таково, что вы никогда не можете полагаться на то, что происходит на стороне клиента (например, в Javascript), без двойной проверки на стороне сервера, это, конечно, создаст проблему, когда приложение работает в автономном режиме, а серверная часть недоступна: (

Если посмотреть на проблему «сделать перенаправление Javascript, если cookie существует», если я не ошибаюсь, злоумышленнику будет тривиально отредактировать Javascript, используя, например, Firebug, для перенаправления в любом случае.

РЕДАКТИРОВАТЬ: Кстати, какой уровень безопасности вы ищете? «Мама не сможет случайно получить доступ к моей учетной записи» (уровень, который, по вашему мнению, уже достигнут), или «никто, кроме, возможно, АНБ, не сможет его взломать» - уровень?

...