HTML5本地存储对信用卡信息的安全影响是什么

Question

在我公司控制下的web服务器中存储信用卡信息会带来严重的安全风险。这是一种打入市场的动力。它迫使我们非常小心地保护对我们数据库的访问。这是一种法律责任。

显然，这只会对在同一浏览器上从一个会话到另一个会话的用户真正有用，因此出现了UX热门。

将此信息存储在HTML5本地存储中是否会提高安全性？

Answer 1

可能是

通过将信用卡详细信息存储在个人的机器上，您可以降低成功入侵单个服务器(或“系统”)导致许多(数百/数千)用户的信用详细信息被泄露的可能性。理想的解决方案需要与在服务器上存储东西类似(或更低)的风险，但分布攻击面，从而大大减少影响。

以下是一个建议方法的摘要(我已经将其作为一个完整的问题HERE提出，到目前为止还没有'poo-poos‘)：

• 通过HTTPS从服务器检索加密密钥。
• 使用它(在javascript中)在用户输入信用卡详细信息的同时对本地存储中的信用卡详细信息进行加密。
• 在用户离开页面时丢弃密钥。
• 如果用户稍后返回，他们可以从服务器检索相同的密钥，以及用于缓存详细信息的新密钥(以避免重复使用相同的密钥)。
• 服务器不必保留信用卡详细信息的副本。黑客需要获得一定级别的访问权限，这样他们才能看到用户在页面上输入的详细信息。

Answer 2

编号：

因为这样任何人都可以到电脑前获取未加密的信用卡信息。计算机上的本地存储未加密。将其加密存储在安全的服务器上是一个更好的选择(即使存在法律问题)。

但最好的选择是根本不存储它。这减少了每个人的法律和财务问题。如果人们对用户体验不满意，向他们解释说，不存储他们的信用卡号码是为了保护他们。