Anche il payload delle notifiche push deve essere crittografato?

5

Se disponi di un'app crittografata completamente end-end, i messaggi push inviati all'APNS o GCM devono essere crittografati.

Il payload contiene solo ID di messaggio, da uid n conversation gid. C'è un grosso rischio se non lo criptiamo?

Come fanno altre app come WhatsApp o Signal? Leggo Signal invia solo una chiamata di sveglia senza dettagli aggiuntivi nel carico utile delle notifiche Push.

    
posta WiredTheories 19.01.2018 - 09:39
fonte

2 risposte

1

Penso che dovresti crittografarlo, a causa della profilazione dei dati, queste informazioni possono contenere il tempo di chat tra due client (anche se cancellano messaggi) ed è molto buono per il branding, puoi dire di avere l'applicazione completamente crittografata. ma per determinare il rischio effettivo che devi chiedere a te stesso, con quelle informazioni come "id dei messaggi", cosa puoi ottenere sull'utente, quando dico che intendo ogni persona con accesso al database e al server. puoi scoprire il messaggio di chi e per chi? se sì il suo rischio di perdita di dati.

sull'app di segnalazione in base a questo collegamento hanno perdita di dati nell'applicazione desktop (ma inviano il corpo del testo nelle notifiche nel suo incubo) ma nel tuo caso, non invii il corpo del testo ai client.

in base a cosa è l'app faq : i tuoi messaggi, foto, video, messaggi vocali, documenti, aggiornamenti di stato e le chiamate sono protette dal cadere nelle mani sbagliate.

sembra non criptare le notifiche. ma zulip mobile crittografa le notifiche

    
risposta data 07.09.2018 - 23:13
fonte
0

Tutto dipende dal livello di sicurezza che vuoi per i tuoi utenti / clienti o da ciò che i tuoi utenti / clienti richiedono. Di solito gli ID dei messaggi non sono molte informazioni per un utente malintenzionato che desidera conoscere le tue conversazioni.

Non so come fa Whatsapp ma Apple ha UNNotificationServiceExtension che ti permette di cifrare completamente il carico utile di notifica tramite APNS e quindi lasciare che l'app esegua la decrittografia prima di visualizzare la notifica. Sono sicuro che ci sia un'API simile in Android.

E poiché ci sono già API che ti aiutano a fare questo molto facilmente .. perché rischiare di non crittografare?!

    
risposta data 08.10.2018 - 06:08
fonte

Leggi altre domande sui tag