Node.JS,我的密碼在RAM中安全嗎?
[英]Node.JS, Are my passwords safe in RAM?
問題描述
我有一個小的webApp,允許人們使用Express和Node.JS創建個人頁面。 每個頁面都是一個對象,這意味着您可以使用: new privatePage(name, pswd)創建一個新頁面,因此所有密碼都存儲在該對象的pswd屬性中。
我的問題是,它們在這里安全嗎,還是容易“砍死”它們?
編輯:我的密碼平均平均最多只需要存儲24小時,因為如果頁面在短時間內處於非活動狀態,它們將自行刪除。
2 個解決方案
解決方案1
1 2016-10-03 20:10:26
這取決於您如何定義“安全”。
作為安全性最佳實踐,您應該假設RAM中沒有安全的東西。 錯誤的軟件和OS代碼可能具有導致緩沖區溢出的漏洞,它們可能使熟練的攻擊者可以控制服務器的內存段,其中可能包含敏感數據,例如頁面密碼。 值得注意的是,探索緩沖區溢出問題是一項艱巨的任務,但是由於Internet的存在,任何人都可以創建任何腳本小子都可以運行的工具。 因此,最佳做法是使敏感數據在內存中短暫存在,以減少暴露於此類問題的風險。
現在,另一方面,您可能對更新服務器上的安全補丁有非常可靠的政策,並且可以在宣布安全問題后盡快執行。 在那種情況下,我想說這對您來說風險較低,但是並不能消除100%被黑客入侵的機會。 這就是為什么我首先說這取決於您希望環境有多“安全”。
解決方案2
1 已采納 2016-10-03 20:26:54
他們絕對不安全 。
您使用bcrypt來存儲它們,這是世界上使用的最新最好的哈希算法。 如果使用此密碼,那么存儲在數據庫中的密碼絕對是安全的。
希望這對您有所幫助。
運行Node.js(在Windows R2服務器上):如何減少艱苦的任務消耗的RAM數量?
[英]Running Node.js (on Windows R2 server): How can I reduce the amount of RAM that my grunt tasks consume?
使用 Node.js 請求 (req) 作為 WeakMap 的鍵是否安全
[英]Is it safe to use a Node.js request (req) as key to a WeakMap
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Bcrypt不一致地比較Node.js中的密碼
使用Node.js和MongoDB存儲密碼
node.time中的console.time()安全嗎?
哈希密碼Node.JS時binding.PBKDF2錯誤
Node.js是否創建一個模塊來收集內存(RAM)信息?
在 node.js 上用低 RAM 對大文件進行排序
運行Node.js(在Windows R2服務器上):如何減少艱苦的任務消耗的RAM數量?
使用 Node.js 請求 (req) 作為 WeakMap 的鍵是否安全
在Node.js的服務器端使用AWS Cognito是否安全?
如何在node.js中編寫線程安全代碼
相關標簽