Latest ads
-
Gemini AI PRO 18 months Offer- Hawaka
- Updated:
-
koko account
- DasunEranga
- Updated:
-
koko account
- DasunEranga
- Updated:
Angular + java Encrypt karanna monawa da thiya widi
- Thread starter Dr Sue
- Start date
කරන්න ඕන මොකද්ද කියලා කිවුවා නං හරි
Angular වලින් කියලා එකක් නැහැ js වලින් encrypt කරලා java වලින් decrypt කරන්න පුලුවන්
එහෙම කරා කියලා HTTPS යූස් කරනවට වඩා වැඩි සෙකියුරිටි එකක් හම්බෙන්නෙ නැහැ පේන විදියට බැලුවම (පට්ටම දිග keys යූස් කරනවා වගේ දෙයක් කර්නනෙ නැත්තං)
අනික encryption කියන්නෙ performance intensive වැඩ ඕව ජාව වලින් කරනවා කියන්නෙ රිසෝස් යූසේජ් එකත් වැඩි වෙනවා කියන එක.js නං කමක්නෑ යූසර්ගෙ බ්රවුසරේ රන් වෙන නිසා
අනික ඕක අපි කරනවා කියන්නෙ key managment පාට් එක අපිට කරන්න වෙනවා ඒව secure විදියට store කරන්න ඕන, අනික symetric key encryption යූස් කරන්න බැහැ බ්රවුසරේට key එක යවන්න වෙනවා කාට හරි inspect කරලා debug කරලා කී එක ගන්න පුලුවන්
PKI encryption යූස් කරන්න පුලුවන් එතකොට අර කියපු key generation/ key management පාට් එක අපිට කරන්න වෙනවා ඒක හරියට කරන්න ඕන.
Angular වලින් කියලා එකක් නැහැ js වලින් encrypt කරලා java වලින් decrypt කරන්න පුලුවන්
එහෙම කරා කියලා HTTPS යූස් කරනවට වඩා වැඩි සෙකියුරිටි එකක් හම්බෙන්නෙ නැහැ පේන විදියට බැලුවම (පට්ටම දිග keys යූස් කරනවා වගේ දෙයක් කර්නනෙ නැත්තං)
අනික encryption කියන්නෙ performance intensive වැඩ ඕව ජාව වලින් කරනවා කියන්නෙ රිසෝස් යූසේජ් එකත් වැඩි වෙනවා කියන එක.js නං කමක්නෑ යූසර්ගෙ බ්රවුසරේ රන් වෙන නිසා
අනික ඕක අපි කරනවා කියන්නෙ key managment පාට් එක අපිට කරන්න වෙනවා ඒව secure විදියට store කරන්න ඕන, අනික symetric key encryption යූස් කරන්න බැහැ බ්රවුසරේට key එක යවන්න වෙනවා කාට හරි inspect කරලා debug කරලා කී එක ගන්න පුලුවන්
PKI encryption යූස් කරන්න පුලුවන් එතකොට අර කියපු key generation/ key management පාට් එක අපිට කරන්න වෙනවා ඒක හරියට කරන්න ඕන.
oya encryption eka karala customer solve karanna hadanne mokadda kiyala ahapan.
Rare usecase thiyanawa, network eka SSL thibbat unsecured kiyala hitala, browser ekenma encrypt karala yawana ewa, read about diffie hellman key exchange
SSL use karanawa nam browser to server communication eka secure wenawa, kohoma encrypt karat browser ekae plain text thiyanawa, server eke decrypt karata passe plain text thiyanawa, so addtional advantage ekak mata penne na.
karannama ona nam help ekak denna puluwan mata hariyatama requriment eka ona, mokadda attatama solve karanna hadanne, oya encryption eken mokadda secure karanna hadanne etc etc
nat nam customer ge side eke eye pereda encryption gana ahapu ekek pora wenna kiyapu moda idea ekak wennat puluwan.
ඕවාගේ එකක් මං කළා රියැක්ට් php වලින්. ඔයාගේ riquiremwnt එක කිව්වොත් සප් එකක් දෙන්න පුළුවන්. Security ටෙස්ට් ෆෙල් එකක්ද?
s
srecret key ekak thiyanwa eka Angular side eken encryte karala MYSQL Db eke save karanna ona , e key ekama Java walin decrypte karala thwa extractor ekakata yawanna thiyenne data ganna
https://en.m.wikipedia.org/wiki/XY_problem
මේක කියවපං උබේ කොමියුනිකේශන් ස්කිල්ස් හදාගනින්ඇයි angular සයිඩ් එකෙන් encrypt කරන්න ඕන?
හුදෙක් ක්ලයන්ට් කියපු නිසා ද?
මොනවද එක්ස්පෙක්ටේශන්?
Machan,
Why are you doing this, Encrypt means, those data can only be accessible by the people who has access to the key
Given that,
If the secret key is in the browser(in the angular js app in a plan text form), anyone who has access to the angular app can access the secret. You are not getting any additional advantage at the browser level
Assume that you have SSL between angular app and the server, your secret key transfer to the backend is already secured by SSL, you are not getting any additional advantage by doing encryption at the js app level.
By having encrypted data in the db is an advantage, people who has access to the db can't access data. if that what you need, you can simply send the secret to the backend, and in the backend you can encrypt that secret key and insert in to the db and decrypt when you want to read that data. if you are doing this, you have another problem, how do you manage your encryption key. that hast to be stored somewhere. If you want to implement this properly, you can try to use some key vault to store the key. then again if someone has access to the db and key vault both, he can access data.
If you are encrypting at the browser level, your problem gets more complicated, you have to have a secure way to send the keys to js app etc. this case key has to be in plain text, then you are back to the original problem. secret is encrypted, but key is in the plain text form in the browser.
ක්ලයන්ට්ට තේරුන් කරල දීපන් මචන් HTTPS තියෙන්නෙ ඒකට තමා කියල. නැත්තන් උබල සෑහෙන අමාරුවක වැටෙනව ඕක මැනුවල් කරන්න ගිහින්.
Yes,
This needs reasonable effort to implement properly, and i don't see any advantage. only plus point is having encrypted data in the db. if that what OP want, he can simply enable encryption at the db level.
Probably OPs requirement can be fulfil by simply controlling access to production environments.
හෙළයෙක් said:
ක්ලයන්ට්ට තේරුන් කරල දීපන් මචන් HTTPS තියෙන්නෙ ඒකට තමා කියල. නැත්තන් උබල සෑහෙන අමාරුවක වැටෙනව ඕක මැනුවල් කරන්න ගිහින්.
these are mostly applicable for end to end encrypted applications. so https not always secure. its just verification of server. just search Man in the middle attack. it can easily hack https.
ක්ලයන්ට්ට තේරුන් කරල දීපන් මචන් HTTPS තියෙන්නෙ ඒකට තමා කියල. නැත්තන් උබල සෑහෙන අමාරුවක වැටෙනව ඕක මැනුවල් කරන්න ගිහින්.
these are mostly applicable for end to end encrypted applications. so https not always secure. its just verification of server. just search Man in the middle attack. it can easily hack https.
එතනින් එහාට සොලුශන් එකක් කියනව කියන්නෙ බන් නිකන් වැලුයු පාස්කරන්න කියනව නෙවෙයි නෙ. එතකොට තව විස්තර දාන්න වෙනව.
For that to happen, the client will have to trust some random certificate provided by the adversary right?
