Безопасность - это в порядке для отправки имени пользователя и пароля через HTTP ДОБИРАЕТСЯ?
Вы близко. В вашем установленном блоке вы можете проверить
navigator.serviceWorker.controller
. Если он существует, это означает, что старый контент будет удален, а новый контент будет добавлен в кэш. Это идеальное время для отображения сообщения или принудительного обновления.
navigator.serviceWorker.register('service-worker.js').then(function (registration) {
$log.debug('The service worker has been registered ', registration);
if(navigator.online) {
toastr.warning('Offline Mode', 'Application Status');
}
// updatefound is fired if service-worker.js changes.
registration.onupdatefound = function () {
// The updatefound event implies that reg.installing is set; see
// https://slightlyoff.github.io/ServiceWorker/spec/service_worker/index.html#service-worker-container-updatefound-event
var installingWorker = registration.installing;
installingWorker.onstatechange = function () {
switch (installingWorker.state) {
case 'installed':
if (navigator.serviceWorker.controller) {
// At this point, the old content will have been purged and the fresh content will
// have been added to the cache.
// It's the perfect time to display a "New content is available; please refresh."
// message in the page's interface.
toastr.info('Application has been updated, please refresh this page for the most recent version');
window.location.reload();
});
caches.delete('scope-dynamic').then(function () {
$log.debug('Killed the dynamic cache!');
})
$log.debug('New or updated content is available.');
} else {
// At this point, everything has been precached.
// It's the perfect time to display a "Content is cached for offline use." message.
toastr.success('Content is cached for offline use.', 'Application Status');
$log.debug('Content is now available offline!');
}
break;
case 'redundant':
$log.error('The installing service worker became redundant.');
break;
}
};
};
}).catch(function (e) {
$log.error('Error during service worker registration:', e);
});
Там есть несколько угловатых вещей, но это должно помочь вам добраться туда, где вы хотите быть.
9 ответов
Если это - медицинские данные, и Вы живете в Соединенных Штатах, существует превосходный шанс, что доступ к нему регулируется инструкциями HIPAA, включая требования к защите. Необходимо рассмотреть http://www.cms.hhs.gov/SecurityStandard/Downloads/SecurityGuidanceforRemoteUseFinal122806.pdf. Если бы Вы не живете в Соединенных Штатах, я предположил бы, что Вы могли все еще указать на HIPAA как относящийся к домену.
Если Ваш поставщик пытается пододвинуть обратно с дополнительной платой, сказать, что "Вы говорите, что Вы не совместимы с соответствующими правительственными стандартами? Черт возьми возможно, необходимо предоставить нам подробную документацию по стандартам безопасности и конфиденциальности, гарантиям и процедурам. Поскольку, очевидно, если бы мы были поражены штрафом, мы приехали бы после Вас". (IANAL и все это.)
От технического уровня конечно, предложение эфирной трассировки, показывающей, как легкий это должно очистить имена пользователей и пароли, должно быть открытием глаза к Вашему управлению. Учитывая то, как тривиально легкий это должно осуществить сниффинг нормального сетевого трафика и как легкий это должно использовать SSL для транспорта, идеи поставщика, пододвигающего обратно на этом, поскольку "усовершенствование в защите" возмутительно.
Хороший способ изложить доводы состоит в том, чтобы захватить относительно техническое (или яркий) менеджер, который поймет, показываете ли Вы им живую эфирную трассировку входа в систему (взгляд! вот пароль для пользователя: MrGreen. Что, не верьте мне? Здесь попробуйте его сами!).
Только сделайте это, не спрашивая сначала, доверяете ли Вы и знаете менеджера, еще просто говорите с ним об этом и если он не верит Вам, просит разрешение показать. Если он не предоставляет его, Вы могли бы указать на этот вопрос или другой ресурс онлайн. Но если бы они не заботятся, Вам не повезло, сказал бы я.
Сделайте живую трассировку, объясните просто, что Вы сделали (кто-либо в нашей сети может сделать это, это столь же легко как устанавливающий эту программу). Впоследствии объясните, что это почти свободно получить шифрование, идущее на систему, которая предотвратила бы это и что приложение едва должно быть изменено ни в малейшей степени. И это, это обладало бы преимуществом передачи всего зашифрованного так записи, будет намного более безопасно также.
Затем отпуск, что менеджер для заботы о соответствующем одобрении/независимо от того, что полномочий/бюджета.
И единственный нормальный способ зафиксировать его в целом действительно использует POST (для фиксации пароля, отправляемого в URL) и HTTPS.
Что волнует меня, большинство - то, что у людей, которые отправляют незашифрованные пароли по сети, вероятно, будет много других дефектов безопасности.
У Вас есть две проблемы здесь, одна техническая, одна договорная (и следовательно законный). Я не попросил бы юридическую консультацию по вопросам Переполнения стека.
Технический ответ очевиден - эти парни, которые сделали Вашу систему, клоуны, так как они оставили зияющую дыру в системе безопасности в нем.
По закону это собирается зависеть, на которой стране Вы находитесь в (я замечаю, что Вы из Брисбена так привет с другой стороны страны). Многие будут иметь медицинским и/или законодательство конфиденциальности, которое, возможно, было нарушено так, это - одна вещь проверить на. Законами HIPAA, которые другие предложили изучить, являются США только; у нас может быть эквивалент в Австралии, но я - вполне уверенные законы о конфиденциальности здесь в Oz, мог вложиться в игру.
Точно так же необходимо просмотреть контракт (спроектировали ли Вы его или нет, я предполагаю, что Вы (или Ваш предшественник) подписали его иначе нет никакого обязательства с Вашей стороны, чтобы заплатить им вообще) видеть, была ли конфиденциальность требованием. Даже если не, компетентный адвокат мог бы утверждать, что это было неявное требование.
Вам, вероятно, придется высосать его и заплатить дополнительные деньги - я работал на некоторые крупные компании, и они имеют тенденцию откладывать всю ответственность за что-либо не перечисленное в результатах клиенту (это обычно пишется в контракт). Если Ваш поставщик является компетентным (с точки зрения бизнеса, а не клиентской удовлетворенности, конечно), они сделают точно это.
Но сначала, свяжитесь с адвокатом совета. Они - сосущие пену нижние фидеры :-), но они - люди, которые будут знать, что сделать, и они лучше всего могут исследовать контракты и советовать наилучших вариантов открыться Вам. Я раньше приблизительно 10 лет назад выходил из автомобильного контракта, который я больше не мог предоставлять и, даже при том, что он стоил несколько тысяч долларов, который был намного лучше, чем альтернатива.
Если они не часто посещают Так, совет, который Вы собираетесь получить здесь, или скашивается технической стороне (лучший случай) или совершенно опасный в легальном смысле (тем более, что это будет главным образом основано на американском законе). Не желая поместить объявление о типах адвоката, я действительно знаю, что можно найти тот здесь.
Всего наилучшего.
Даже когда с помощью SSL, помните, что, когда имена пользователей и пароли отправляются с помощью, ДОБИРАЮТСЯ, они включены как часть URL.
Это будет означать, что любые журналы сервера будут содержать имена пользователей и пароли как часть процесса входа. Поэтому необходимо будет защитить эти журналы или по крайней мере предотвратить журналирование строки запроса.
Я думаю для Вашего случая, необходимо настоять на https - даже если это по "безопасной" сети.
Это подобно основному http (основной, позволяет его в заголовке - который предпочтителен, но можно также поместить его в URL в определенном формате, дополнительную информацию см. в rfc2617).
с SSL/https имя хоста будет в ясном (очевидно, поскольку это должно найти сервер), но другие части URL должны быть безопасно зашифрованы.
Это не менее безопасно, чем созданный в основной аутентификации HTTP.
Это верно, за исключением одного тонкого момента, что имя пользователя и пароль, в зависимости от того, как система разработана, могут появиться в строке поиска окна браузера.
По крайней мере я думаю, что они должны разместить ту информацию к серверу.
Это не менее безопасно, чем созданный в основной аутентификации HTTP. Просто удостоверьтесь, что имя пользователя/пароль не кэшируется клиентскими веб-браузерами (Это в Вашей истории браузера?)
Я думаю, что самый легкий и самый дешевый путь состоял бы в том, чтобы потребовать, чтобы HTTPS защитил Ваше веб-приложение. Если пользователь переходит к URL, который является HTTP, можно просто перенаправить их к HTTPS эквивалентный URL.
Если необходимо предоставить доступ HTTP, хотя (и я не уверен, почему это имело бы место), то это абсолютно не безопасно. Необходимо вместо этого реализовать что-то как аутентификация доступа обзора HTTP.
Я не думаю, что улучшение безопасности является чем-то, что необходимо получить бесплатно хотя от человека, делающего кодирование. Это - то, если u/p не появляется в истории браузера.
Так как Вы имеете дело с доктором и терпеливой информацией, это также звучит мне как само содержание, должен быть зашифрован, и не только аутентификация. Таким образом, действительно необходимо использовать HTTPS так или иначе.
Имена пользователей и пароли никогда не должны отправляться незашифрованные по сети, поэтому настаивать на HTTPS, по крайней мере, для аутентификации. Мое предпочтение было бы то, что имя пользователя/пароль только принято по почте (так, чтобы это не появлялось в URL вообще), но Вы могли очевидно зашифровать и закодировать пароль так, чтобы это могло быть вставлено в ПОЛУЧИТЬ запрос. Я не могу предположить причину, почему я сделал бы это вместо POST.
[РЕДАКТИРОВАНИЕ] Как другие указало, если у Вас есть связанные с пациентом данные, Вы, возможно, должны зашифровать всю связь с сервером. Если бы Вы находитесь в США, я убедил бы Вас изучить инструкции HIPAA для наблюдения что, если кто-либо применяется здесь относительно обеспечения данных, особенно подраздел 164.306 Правила Конфиденциальности (PDF).
Были это заказное программное обеспечение или что-то используемое другими? Если последний, рассмотрите присоединение или запуск группы пользователей, представляющей все те, кто использует программное обеспечение.