Come sviluppatore di software, i miei dump di arresto anomalo (ad esempio da Breakpad, Windows) devono essere crittografati e firmati? Fornisco la possibilità di esportare i dump degli arresti anomali in modo da poter individuare il problema quando l'utente ne segnala uno.
Le mie preoccupazioni, in termini di protezione del mio prodotto (l'utente malintenzionato è un utente che ha hackerato il prodotto per ottenere qualcosa):
- I dump danno troppe informazioni agli hacker per decodificare o hackerare il software, ad esempio per abilitare funzioni o licenze?
- È possibile memorizzare password e chiavi nelle discariche per consentire agli hacker di hackerare il software.
- Un utente potrebbe restituirci un dump maliziosamente malformato, che causa scompiglio quando proviamo a decifrare il dump sulle nostre macchine. Se la nostra applicazione firma il dump, almeno possiamo aprire il file con sicurezza.
Aggiornamento: per l'ultimo punto elenco, una delle risposte mi ha ricordato che non vi è alcun punto di riferimento nella firma dei dati, poiché la chiave deve essere nel prodotto stesso, che l'hacker può quindi usalo per firmare comunque. Inoltre, il timore di dumping dannosi può essere aggirato attraverso l'uso di macchine virtuali temporanee.
L'ultima preoccupazione rimasta è come i dump, dato che contiene indirizzi e cose, potrebbero aiutare gli hacker a eludere le restrizioni come le funzionalità con licenza.