英语原文共 5 页,剩余内容已隐藏,支付完成后下载完整资料
HTML5 IndexedDB的作用,过去,现在和未来
Stefan Kimak,Jeremy Ellman
英国泰恩河畔纽卡斯尔诺桑比亚大学工程与环境学院
摘要:在过去的20年中,Web浏览器已经从简单的文本显示变为现在支持复杂的多媒体应用程序。 客户现在可以享受聊天,玩游戏和网上银行。所有这些应用程序都有一些共同点,它们可以在多个平台上运行,在某些情况下它们将脱机运行。随着HTML5的推出,这种演变将继续发展,浏览器将提供更高级别的功能。本文概述了背景研究和新技术的重要性,例如HTML5的基于浏览器的新存储称为IndexedDB。我们将展示在客户端存储数据的技术如何随着时间的推移而发生变化,以及在考虑已知的安全问题时,将来如何使用在客户端上存储数据的技术。此外,我们以安全模型的形式提出了IndexedDB已知安全问题的解决方案,该安全模型将扩展当前模型。
关键词:Cookies, HTML5, IndexedDB
1.介绍
HTML5是用于编写网页的语言的最新W3C标准。它还定义了预期由支持HTML5的Web浏览器提供的应用程序编程接口(API)。 HTML5带来的变化和增强的动机是,客户端进程将能够避免服务器端应用程序中发现的无效性和网络连接问题以及由其所需的网页刷新引起的固有视觉不稳定性。因此,主流浏览器现在支持大多数新的HTML5组件和API。因此,基于HTML5浏览器的存储可能包含来自在线服务的存储数据,这些数据利用了新的HTML5功能。由于网络延迟或数据库查询过程,访问此数据的过程在某些情况下可能会很慢。建议这种基于浏览器的新级别存储将确保这种支持HTML5的浏览器成为网络攻击的重要目标。基于浏览器对于开发人员来说至关重要,因为基于现代浏览器的Web应用程序能够以比任何服务器端数据库更快的速度存储大量数据并访问该数据。 因此,HTML5开辟了全新的安全挑战和问题。 众所周知,在因特网上的每次移动中都跟踪用户信息。 电子商务网站存储客户详细信息,订单和保存的产品,网站将Cookie存储在用户计算机上以跟踪回头客。 该数据可以稍后用于营销目的并以新客户为目标。 有时,消费者和公众不会意识到通过互联网共享的个人数据的数量以及如何使用或滥用这些数据。 数据隐私和信息泄漏是一个严重的问题。
2.INDEXEDDB-过去
2.1电子商务
电子商务一词在2000年初开始广泛使用,它被定义为在互联网上以电子方式进行的商业交易。电子商务对各地的企业都有重大而积极的影响。电子商务市场增长缓慢,直到2007年,其GDP比例约为3%,但最大的扩张发生在过去十年,当时零售额增长至40%。随着越来越多的人连接到互联网并增加光纤宽带的可用性,组织和个人消费者对电子商务的使用也在不断增长。
与线下商店和邮件目录相比,电子商务有几个优势。在线商店消除了批发商和分销商所需的第三方中间人成本。它还消除了实体店的管理费用,这两者都降低了运营成本。电子商务商店还提供搜索功能,以便客户正在查看他们正在查找的项目。此外,客户可以轻松浏览大量产品和服务,电子商务已经扩展到企业对企业(B2B)和企业对消费者(B2C)市场。电子商务为零售商提供了扩展的机会。
2.2 Cookies
电子商务应用程序使用cookie来存储客户的偏好。 这使得在线购买体验更加方便和专注,因为cookie允许跟踪客户偏好。 Cookie支持客户购物车等功能,以及对返回客户的认可,然后推荐适当的产品并使用个性化定制的营销方式提供优惠。
Cookie法是2011年欧盟指令的结果,并在欧盟大部分地区颁布成为法律。 它要求网站获得访问者同意在计算机,智能手机或平板电脑上存储或检索任何信息。
它旨在通过让消费者了解如何在线收集和使用有关它们的信息来保护在线隐私,并让他们选择允许或不允许。Cookies的大小限制为4KB,因此很少用于直接存储 特定于站点的信息。 相反,典型的cookie将存储唯一的数据库密钥。 该密钥通常指向Web服务器的无法公开访问的客户数据库。 该数据库可能包含有关客户的任何数量的信息,包括其个人详细信息,交易和购买历史,首选项等。
3.INDEXEDDB-现在
新的HTML5 IndexedDB功能带来了新的安全问题,因为增加了对客户端计算机资源的访问。 最大的缺点或失望之一是新标准不提供任何额外的安全性。 HTML5视频和音频正在将第三方应用程序替换为Adobe,并使用FLASH应用程序或插件关闭常见的攻击媒介。 此外,HTML5提供了对计算机资源(包括本地存储)的更大访问,因此为攻击提供了新的机会。
当前基于浏览器的存储(例如IndexedDB)的问题在于担心客户端计算机上的另一个应用程序也可能访问该脱机数据。 为了防止Web应用程序读取彼此的数据,称为相同原始策略(SOP)的机制适用于所有Web存储技术。 通过实施相同的原始策略,浏览器根据Web应用程序的主机名(www.example.com),运行Web应用程序的端口号(80)以及协议检查并记录它们存储的所有数据的来源。 通过其传递数据(通常为http或https)。 当Web应用程序想要访问本地存储的数据时,浏览器将检查数据的当前来源和来源,并且只有在这些数据匹配时才允许访问。 通过使用相同的原始策略来保护数据。
4.INDEXEDDB-未来
IndexedDB的未来是支持基于浏览器的离线使用的安全性。 现有的基于浏览器的存储并未受到Web开发人员的欢迎,因为它们面临着一些问题。 第一个问题是所需代码的复杂性,开发人员需要额外的时间来理解结构。 这么说,有很多在线教程示例,可以帮助开发人员开始在他们的Web应用程序中实现基于浏览器的存储。
IndexedDB的第二个问题是安全性。 目前,IndexedDB以未加密的状态存储数据,因此既不受保护也不安全删除。 因此,不建议将IndexedDB存储用于存储个人信息。 这使其功能受限。 与存储在未加密状态的桌面,移动设备或平板电脑上的数据一样,攻击者可以在不绕过任何保护的情况下获取数据。 例如,使用跨站点脚本攻击(XSS),例如隐藏在电子邮件链接中,攻击者可以找到存储的数据。 IndexedDB本身就容易受到此类攻击。
在考虑Web应用程序和信息存储时,安全漏洞是不可避免的。 这不仅是因为攻击的复杂性,而且还因为许多攻击(例如跨站点脚本)基于社会工程并利用人为错误,因此极难防范。 基于浏览器的存储安全设计是一个问题,但可以纠正。 更正是使用客户端加密,这意味着基于浏览器的存储至少与服务器上的存储一样安全。
5.结论
基于这些发现,我们可以说,存在基于浏览器的数据库的情况。 基于浏览器的数据库虽然面临服务器上的安全问题,但这已经抑制了它们的使用。 尽管如此,尽管存在基于浏览器的存储所面临的问题,但由于其便利性,性能以及对连续可用网络连接的依赖性的减少,该技术的未来仍然存在。
考虑到在本地存储数据的问题和担忧,基于浏览器的存储有可能被广泛使用,其主要优势是性能速度,跨平台(桌面,移动,平板电脑)和浏览器可用性。本地存储的优势超过了 缺点,请记住,所识别的问题可以得到纠正,开发人员可以广泛使用基于浏览器的存储,而不必担心由于设计限制而引入的安全问题。
参考文献:
[1] Naseem, S.Z. Majeed, F. (2013) Extending HTML5 local storage to save more data; efficiently and in more structured way. Eighth International Digital Information Management (ICDIM)
[2] Zhanikeev, M. (2013) A Practical Software Model for Content Aggregation in Browsers Using Recent Advances in HTML5. 37th Annual Computer Software and Applications Conference Workshops (COMPSACW). pp.151-156, Japan 22-26 July 2013
[3] Ryck, P. Desmet, L. Philippaerts, P. Piessens, F. (2011) A Security Analysis of Next Generation Web Standards, (European Union Agency for Network and Information Security - ENISA). Tech. Rep.
[4] Anttonen, M. Salminen, A. Mikkonen, T. Taivalsaari, A (2011)Transforming the web into a real application platform: new technologies, emerging trends and missing pieces. ACM Symposium on Applied Computing. New York, NY, USA. Pp. 800-807.
[5] Chuang, T. T., Nakatani, K, Chen, J. C. H. and Huang, I. L. (2007).Examining the Impact of Organisational and Owners Characteristics on the Extent of E-commerce Adoption in SMEs,
[6] Pool, P. W., Parnell, J. A., Spillan, J. E., Carraher, S. and Lester, D. L.(2006). Are SMEs Meetings the Challenge of Integrating E-commerce into Their Businesses? A Review of the Development, Challenges and Opportunities, International Journal Information Technology and Management, 5(2/3), pp.97-113.
[7] Jones, J. (2014) E-commerce: measuring, monitoring and gross domestic product. ONS. Available at:http://www.ons.gov.uk/ons/rel/gva/national-accounts-articles/e-commerce--measuring--monitoring-and-gross-domestic-product/index.html (Accessed: 20 September 2015).
[8] Ta, H., Esper, T., amp; Hofer, A. R. (2015). Business? to? Consumer(B2C) Collaboration: Rethinking the Role of Consumers in Supply Chain Management. Journal of Business Logistics, 36(1), 133-134.
[9] Xiaojing, L., Liwei, Z., amp; Weiqing, W. (2012). The mechanism analysis of the impact of eCommerce to the changing of economic growth mode. In Robotics and Applications (ISRA), 2012 IEEE Symposium on (pp.698-700). IEEE.
[10] Boritz, E., Gyun, W., and Sundarraj, P. 2008. Internet privacy in E-commerce: Framework, review and opportunities for future research. In:Proceedings of the 41st Hawaii International Conference on System Sciences. Hawaii, January 7-10 2008, pp.204-256.
[11] Gehling, B., amp; Stankard, D. (2005). eCommerce security. In Proceedings of the 2nd annual conference on Information security curriculum development (pp. 32-37). ACM.
[12] Goacute;mez, J. M., amp; Lichtenberg, J. (2007). Intrusion Detection Management System for ECommerce Security. Journal of Information Privacy and Security, 3(4), 19-31.
[13] Buja, G., Jalil, K. B. A., Ali, F. B., Mohd, H., amp; Rahman, T. F. A.(2014). Detection model
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[19943],资料为PDF文档或Word文档,PDF文档可免费转换为Word
课题毕业论文、外文翻译、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。