Где хранить секретный ключ для использования в хэше SHA-1?

Question

Мне нужно отправить форму на защищенный сервер с хешем SHA-1: некоторые поля формы и секретный ключ.

Я буду использовать javascript для создания хэша (с помощью http://crypto -js.googlecode.com / files / 2.3.0-crypto-sha1.js ) и помещу его в скрытом поле ввода в форме. Сервер получателя проверит хеш с тем же ключом.

Но где мне хранить секретный ключ? Я не могу поместить его в javascript, так как исходный код страницы можно просмотреть (даже если он запутан?).

Мой сайт размещен на сервере UNIX, к которому у меня есть доступ по ftp и telnet. Я предполагаю, что, если я помещу ключ в отдельный файл .js на сервере, это также небезопасно.

Как еще можно хранить его на моем сервере безопасным способом, но доступным только для javascript на моей странице? Спасибо.

Answer 1

То, что вы хотите сделать, невозможно. Вы не можете хранить или даже иметь доступ к секретному ключу в javascript, если ваши пользователи не смогут его увидеть. Вы должны создать свой хэш на сервере, а не на клиентском компьютере.

Запутывание вашего источника едва ли помешает кому-то, пытающемуся найти ваш секретный ключ, кто немного знает о Javascript и инструментах для его очистки и тому подобное.