如何解决如何在 Baikal/SabreDAV 上实现加密?
我正在尝试使用 Baikal 的 CardDAV 功能,以便在 iOS 上为我的用户提供地址簿功能。
我创建了一个桌面应用程序,希望能够从这个应用程序创建一个带有 VCard 数据的 BLOB,并将其插入到贝加尔湖的 MysqL 表中,以将其视为有效的地址簿数据。棘手的部分是我想要求用户提供一个加密密钥,以便在贝加尔湖上设置他们的 CardDAV 帐户。我希望我能将此密钥传递给加密函数,以便加密 vcard 并将其作为 BLOB 存储在 Baikal 的 MysqL 数据库中。为了在用户的 iOS (iphone) 设备上检索 CardDAV 联系人,我会以某种方式要求用户将他们的密钥作为参数添加到贝加尔湖的连接 URL。最后我会使用这个参数来解密每个用户的卡片。所以,如果我用户的地址簿在 http://myserver/baikal/html/dav.PHP/user1/default,我会要求他们添加这样的参数:http://myserver/baikal/html/dav.PHP /user1/default?p=12345678
这样,只有用户知道如何解密他们的数据,如果数据落入黑客手中,贝加尔湖将是安全的。
这有意义吗?知道从哪里开始吗?
解决方法
如果您将密码放入 URL 中,那么如果服务器落入黑客之手,密码将遍布您的系统日志。 您可以只使用用户的常规密码进行加密,至少通常不会在服务器上以其他方式记录或持久化。
真正的客户端加密无法使用(未修改的)CardDAV 客户端完成,因为像 iOS/macOS 中的常规 Cal/CardDAV 客户端根本不支持进行内容级加密的方法。您最多可以获得用于保护传输的 TLS。
如果您仍想继续,则需要将服务器修改为:
- 将那些存储的加密 vCard 视为常规 vCard(例如报告正确的内容类型)
- 根据用户要求在交付前对其进行解密,并在用户到达时对其进行更改时对其进行加密
- 对 CardDAV 查询做一些合理的处理,最好禁用它们
坦率地说,与仅仅让数据库或文件系统对数据进行加密相比,这样做的价值有限,而且代价高昂。
这实际上取决于您要解决的特定安全问题。但是如果黑客可以访问您的服务器,他也可以访问所有传入的密码,并且可以捕获它们。
如果您想要真正的客户端加密,则不能使用标准 CardDAV 客户端,但需要编写自己的客户端。例如。在 iOS/macOS 上,您可以有一个应用程序在本地进行加密并更新用户的联系人数据库。
正确实施加密真的很难,如果数据合理,您需要专业人士对其进行审核。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
