作者 freeman371 (自由人371)標題 [問卦] 密文存DB金鑰傳後端解密 和 明文直接存DB時間 Sat Dec 20 16:22:06 2025
如果把金鑰存在前端Cookie
並用HttpOnly傳到後端加解密訊息
以及
直接把訊息用明文的方式存在後端DB
這兩者
有什麼差別?
有八卦嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.137.16.85 (臺灣)
※ 作者: freeman371 2025-12-20 16:22:06
※ 文章代碼(AID): #1fHbon9i (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1766218929.A.26C.html
推 orze04: 都很爛1F 114.137.150.41 台灣 12/20 16:25
→ ChungLi5566: 你老師沒教你DB只能存hash過的密碼2F 59.102.158.44 台灣 12/20 16:37
兩回事
我現在是說密文存DB
要做到完全Letter Sealing
金鑰只能完全存前端
但這樣就不能搜尋訊息內容了
這是我目前遇到的瓶頸
※ 編輯: freeman371 (223.137.16.85 臺灣), 12/20/2025 16:40:25
→ dildoe: 洩漏可以辯解一定是用戶保管不當 ?
我都不存別人的key的3F 36.229.179.51 台灣 12/20 16:46
推 lturtsamuel: 資料庫外洩不會直接被破解 就這樣5F 49.216.190.94 台灣 12/20 16:51
→ ChungLi5566: 哪天網站被發現注入管道 sqlmap只要幾秒鐘就能把整個db抄出來6F 59.102.158.44 台灣 12/20 16:54
推 orze04: 「找訊息內容」這個動作本質就是在直接看明文了好嗎8F 114.137.150.41 台灣 12/20 16:57
所以只能擇一
有一方勢必只能犧牲掉
要嘛做完全的Letter Sealing
要嘛明文存DB 或 密文存DB但金鑰傳到後端去解密
但後者就是我想問的區別是什麼啊
※ 編輯: freeman371 (223.137.16.85 臺灣), 12/20/2025 17:01:09
推 orze04: 你的key有沒有透過https加密不是重點
伺服器端還是會知道沒加密的key。10F 114.137.150.41 台灣 12/20 17:04
推 g1254501: 我幫你問雙子星了 它強烈反對你存前端12F 36.233.25.212 台灣 12/20 17:15
--