close
一開始還是一樣強調安全的重要性,並將攻擊區分為直接與間接攻擊,然後舉了一個 2.2~2.3 的漏洞做為間接攻擊的例子,這個漏洞是這樣子的:使用者瀏覽一個有問題的網頁,因為漏洞的關係,該網頁不會出現詢問的視窗,可以直接下載檔案並儲存到 SD Card,又因為另外一個漏洞,被下載的檔案會有可被執行的權限,於是攻擊者就有了可完整存取 SD Card 的權限。
接著就開始舉例了,第一步就是確認要將資料分類,哪些資料是個人資訊,哪些資料是敏感資訊,作者用了一個表格來做整理:
仔細的寫下來,就可以針對資料欄位的特性來做處理,看需不需要加密、傳送要不要經由 SSL...等等的。章節的最後介紹了 AES 加解密,AES 是一種單一鑰匙就可加解密的演算法,跟要給別人公鑰、自己拿私鑰的那種不一樣。AES 演算法可以參考維基百科上的說明。
接著就開始舉例了,第一步就是確認要將資料分類,哪些資料是個人資訊,哪些資料是敏感資訊,作者用了一個表格來做整理:
- 欄位名稱
- Personal? 個人資訊?
- Sensitive? 敏感
- Create 可以被使用者建立?
- Store 要存放嗎?存在遠端還是本地端?
- Send 需要傳送到網路上?
- Receive 需要從遠端下載?
仔細的寫下來,就可以針對資料欄位的特性來做處理,看需不需要加密、傳送要不要經由 SSL...等等的。章節的最後介紹了 AES 加解密,AES 是一種單一鑰匙就可加解密的演算法,跟要給別人公鑰、自己拿私鑰的那種不一樣。AES 演算法可以參考維基百科上的說明。
文章標籤
全站熱搜
留言列表