如何检测人员在客户端的非屏蔽字段中输入 SSN 数据？

Posted 2023-03-10

【中文标题】如何检测人员在客户端的非屏蔽字段中输入 SSN 数据？

【英文标题】：How to detect person is typing SSN data in non masked field on client side?

【发布时间】：2017-01-17 07:41:24

【问题描述】：

我有一个屏幕共享应用程序，其中屏蔽了所有敏感数据。在某些情况下，客户将敏感数据（例如 SSN）输入到非屏蔽字段中，从而直接影响我们的解决方案。

有没有一种方法可以让我检测到该人正在输入 SSN 或任何敏感数据，而无需在客户端访问数据库（或任何其他服务器端信息）。

例如，考虑一个包含 SSN 和地址字段的表单。如何避免在地址字段中显示错误输入的 SSN？

SSN
Address:888-9999-0988

---

编辑

到目前为止，我的方法是将所有模式存储在客户端的属性文件中。例如，我的应用程序中的典型密码为 8 个字符，规则如下：

^(?=.*[A-Za-z])(?=.*\d)(?=.*[$@$!%*#?&])[A-Za-z\d$@$!%*#?&]‌​8,$

我将把这个正则表达式存储在客户端。一旦用户开始输入，我将检查他输入的是密码还是用户名。 同样，我可以将电话号码分解为国家/地区代码格式，并且也可以使用正则表达式。 但是由于 SSN 是纯 9 位随机数，所以我被卡住了。

通过从 DOM 中提取字段名称，我可以获得光标的确切位置和用户正在输入数据的字段名称。并且通过使用它们支持的数据格式类型，我可以大致了解用户是否正在输入所需的数据或别的东西。如果我错了，请纠正我

九月： 14-2016 由于我在浏览器中运行屏幕共享解决方案，它将被网站用作可插入组件。因此要求他们重新构建页面并不容易。 以下是我根据您的意见最终确定的方法。 我将有一个文件文件，其中存储了所有模式。 1.信用相关信息都有一定的规律，不会有问题 2.密码也有一些规则或模式。所以这些也可以检查

为了避免数据泄露，我会在用户输入数据之前显示通用消息，例如 watsapp 显示“用户正在输入”。一旦用户选项卡或进入下一个字段，则在内联模式验证后只会显示数据。

这里唯一剩下的就是如何检测那些没有任何模式的字段，如 SSN、电话号码等。希望我们也能有一些解决方案。

问候 哈利

【问题讨论】：

澄清和收紧措辞。

【参考方案1】：

简而言之，你不能。 您如何按值和格式区分敏感数据？ 例如，您如何及时区分 SSN 212-73-6500 和纽约市电话号码 212-736-5000 以消除敏感信息？同样，您如何检测到用户在地址字段中输入密码，在显示密码的任何字符之前？

您说您无法访问数据库以将输入的数据与已知值进行匹配。除非您可以在输入敏感数据之前对用户做出一些区分，否则您无法在信息论下检测到错误。您无法将密码与名称或其他字母数字输入区分开来。

我看到了一种可能性：在清除显示之前将所有数据视为敏感数据。每个输入字段都会被屏蔽，直到您确认它不能包含敏感信息。

不幸的是，我不知道您可以严格地从客户端执行此操作。同样，您如何区分输入错误的 SSN（遗漏或加倍的数字）和电话号码？如何从密码中分辨字母地址？

我相信，要解决这个问题，您需要对您请求的敏感输入施加一些限制。密码不能看起来像任何其他字段。您在页面上尽可能多地将易混淆的字段分开......其中一些可能会影响输入信息的顺畅流动。

---

编辑回复

没错：您可以设置一系列识别规则并区分各种类型的输入。但是，您仍然存在一些先天问题，因为您无法区分某些类型的输入，直到为时已晚，例如上面的电话或 SSN 歧义，或者从姓名或地址告诉密码 (有些地址以纯字母字符开头）。

您能否通过严格的分区来满足安全要求？例如，将所有的敏感信息放在一个页面上，将所有显示的信息放在另一个页面上。我正在寻找一种方法来强制用户知道某些信息是敏感信息。

另外，您是否必须将此配置为国际使用？安全要求因文化和国家而异。设计此应用程序时请牢记这一点。

【讨论】：

我现在的方法是将所有模式存储在客户端的属性文件中。例如，我的应用程序中的典型密码是 8 个字符，具有以下规则：“^(?=.*[A -Za-z])(?=.*\d)(?=.*[$@$!%*#?&])[A-Za-z\d$@$!%*#?&] 8,$" 所以我会将这个正则表达式存储在客户端，一旦用户开始输入，我会检查他是否输入密码或用户名。同样，我可以打破国家区号格式的电话号码，也可以使用正则表达式。但由于 SSN 是纯 9 位随机数，我被卡住了。

通过从 DOM 中提取归档名称，我可以获得用户正在输入数据的光标和字段名称的确切位置。通过使用它们支持的数据格式类型，我可以大致了解用户是否正在输入所需的数据或其他东西。如果我错了，请纠正我

我将这些编辑为您的原始问题；其他路过的人可以更轻松地找到相关信息。

由于我在浏览器中运行屏幕共享解决方案，它将被网站用作可插入组件。因此要求他们重新构建页面并不容易。以下是我根据您的意见最终确定的方法。我将有一个文件文件，其中存储了所有模式。 1.信用相关信息都有一定的规律，不会有问题 2.密码也有规律或规律，这些也可以查。

为了避免数据暴露，我会在用户输入数据之前显示通用消息，就像 watsapp 显示“用户正在输入”一样。一旦用户选项卡或进入下一个字段，则在内联模式验证后只会显示数据.剩下的就是如何检测那些没有任何模式的字段，如 SSN、电话号码等。希望我们也能有一些解决方案。