I contenuti di una pagina Web possono essere protetti dalla modifica

3

Stiamo sviluppando un'applicazione che invia dati altamente sensibili su Internet. Per questo utilizziamo la crittografia lato client in modo che anche se un utente malintenzionato ottenga l'accesso ai nostri server, i dati non possono essere decifrati. Ora i nostri clienti vogliono che l'applicazione sia basata sul web. Questo è un problema perché ora un utente malintenzionato potrebbe modificare il codice JavaScript sul server, rendendo possibili tutti i tipi di attacchi.

Possiamo proteggere il codice in qualche modo? È possibile firmare il codice JavaScript utilizzando una chiave privata e configurare il browser per testare la firma?

    
posta Nathan 15.12.2015 - 09:35
fonte

2 risposte

5

Utilizza https. Ciò crittograferà e firmerà tutti i tuoi contenuti tra il tuo server e il browser web degli utenti.

Questo non protegge dalla modifica sul tuo server , naturalmente, ma quando il tuo server viene compromesso, tutto viene comunque perso. La sicurezza delle applicazioni Web semplicemente non funziona se il server viene compromesso.

Se vuoi firmare il tuo codice, allora Javascript basato sul browser non è la tecnologia giusta, perché non esiste un sistema di firma e verifica del codice nei browser web. Sarebbe difficile introdurne uno, perché tutti gli script di tutto il WWW dovrebbero improvvisamente essere firmati o gli utenti verrebbero bombardati da avvisi di firma mancanti, che li faranno abituare a ignorarli.

Un'opzione alternativa sarebbe utilizzare una buona vecchia applet Java, perché supportano la firma del codice.

    
risposta data 15.12.2015 - 09:52
fonte
0

Ho partecipato a un dibattito ( video ) in cui hanno introdotto CodeSealer , che hanno rivendicato proteggere il codice JavaScript tra gli altri componenti. Si prega di visitare i link in questa risposta per ulteriori informazioni, suona come quello che stai cercando.

Disclaimer: non sono in alcun modo affiliato con CodeSealer o con l'IT University di Copenhagen. Non ho nemmeno testato CodeSealer.

    
risposta data 15.12.2015 - 11:29
fonte

Leggi altre domande sui tag