javascript — безопасный способ хранения конфиденциальных данных API пользователей (localStorage или база данных?)
Я играю с идеей создания веб-сайта для криптовалют, где пользователь может зарегистрироваться на моем веб-сайте, ввести свои данные API для одного из поддерживаемых мною биржевых рынков, что позволяет ему торговать на этой бирже, но с использованием мой «более удобный» веб-интерфейс.
Моя главная цель — создать более удобный интерфейс, чем то, что предлагают большинство биржевых сайтов. Я не подключаюсь напрямую к каким-либо криптовалютам или кошелькам, все, что я делаю, это использую API существующих биржевых рынков, передаю информацию на мой сайт, где у меня более удобный интерфейс.
Поскольку это очень деликатный вопрос в отношении безопасности, я пытаюсь выяснить, как лучше хранить данные об API пользователей.
В целом, мне не нравится идея хранить детали API на моем сервере баз данных, и ни на моем сервере в целом. Мысль о взломе моего сайта и раскрытии всех деталей API ужасна. Конечно, каждый веб-сайт обмена, поддерживающий API, имеет собственную встроенную защиту, такую как сеансы API с 2FA, ограничения IP, еженедельные генерации новых секретных ключей API, ежедневные лимиты торговли через API и запрет на снятие кошельков через API. Но ущерб все еще может быть нанесен, если эти детали API будут украдены.
Я бы предпочел, чтобы был способ, при котором мне вообще не нужно было бы хранить детали API на моем сервере, а пользователь мог бы сохранять их локально на своем ПК. Таким образом, он отвечает за безопасность данных API.
Эта мысль привела меня к идее создания настольного приложения с использованием электроники (https://electron.atom.io/). Таким образом, я все еще могу создавать веб-сайт так, как я хочу, но он обернут в электрон, так что он всегда работает локально. Прежде чем продолжить эту идею, я хотел бы продолжить изучение моей предыдущей идеи обычного веб-сайта, так как я предпочитаю использовать мой веб-сайт на основе облака, SaaS, для предотвращения пиратства.
Так что мне интересно, какие еще опции у меня были бы для сохранения данных API пользователя без сохранения их на сервере?
Печенье? Вероятно, не безопасно.
А как насчет localStorage? https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_API
Есть ли другие варианты или я слишком параноидален по этому поводу? Общепринято ли хранить конфиденциальные данные API на сервере базы данных вместе с остальными данными пользователей?
Решение
Я думаю, что сохранение данных на компьютерах пользователей является неправильным способом, потому что, когда вы будете сохранять личные данные пользователя на своем сервере, вы сможете контролировать безопасность вашего сервера, когда они будут сохранены на компьютере пользователя, безопасность вашего сервера будет зависеть от пользователей. Сегодня мы знаем много способов, как обмануть пользователей, и я думаю, что программисты должны заботиться о своих пользователях. когда вы сохраняете данные на сервере db, вы можете переключать многие методы, такие как проверка электронной почты или проверка по телефону, вы можете отправлять сообщения с некоторым кодом подтверждения, переключать службу ssl, также вы можете избежать внедрения sql с использованием современных сред, таких как Laravel или Yii 2 В любом случае, если вы сохраните пользовательские данные на своем сервере, безопасность вашего приложения будет зависеть от вас.
если вы будете сохранять пользовательские данные на локальном компьютере, сегодня хакеры используют много методов для кражи пользовательских cookie-файлов или методы для получения контроля на компьютере, например, вы можете прочитать этот пост
https://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/
сегодня хакеры, использующие этот метод, создают исполняемый файл, расширение которого на первый взгляд является docx или другим расширением, например pdf и так далее …
но на самом деле это исполняемый файл, и он работает, пользователь может загрузить его и запустить … Я думаю, вы поняли, что может сделать хакер с компьютерами пользователей таким образом, сегодня так много вирусов, которые даже очень профессиональные пользователи не могут распознать.
Другие решения
Других решений пока нет …