Come proteggere al meglio i dati su HTTPS

3

Il mio obiettivo è di avere un'app (iOS) in cui l'utente effettuerà il login, quindi su un login soddisfacente, ottenere l'accesso a ulteriori informazioni su un servizio web crittografato (indeciso).
Dalla ricerca, comprendo le tecniche di crittografia di scambio di chiavi diffie-hellman e 'firme' usando HMAC con chiave segreta (dal diffie-hellman).

Ulteriori ricerche mi portano all'HTTP per garantire l'assenza di intercettazioni.
Tuttavia, ora sono un po 'confuso su cosa avrei bisogno di fare tramite la connessione HTTPS per garantire che i dati di accesso siano protetti tra app & server.

  1. HTTPS è abbastanza sicuro da superare il "nome utente" POST & 'password' i dati lungo la linea verso il server da solo? o sarebbe necessaria una sicurezza aggiuntiva come un hash della password?

o

  1. Dovrei implementare una chiave di scambio completo + la firma della richiesta (e ad un certo punto un token di accesso), su una connessione HTTPS?

Non sono sicuro dove tracciare la linea con la crittografia.

    
posta Simon. 24.10.2014 - 12:41
fonte

1 risposta

4

HTTPS è più di sufficiente sicurezza per inviare e ricevere informazioni, non iniziare ad implementare la tua sicurezza come HTTPS si prenderà cura di te per te. Fornisce:

  • Riservatezza
  • Integrità
  • L'autenticità

Il problema maggiore quando si scrivono applicazioni mobili è verificare il comportamento dell'applicazione quando riceve un'eccezione di certificato.

Per quanto riguarda l'hashing della password, non è molto utile dato che la password sarà qualunque cosa tu invii al server, quindi sarebbe possibile continuare a replicare attacchi o sniffing, anche quando hai cancellato la tua password. Fortunatamente non sarà possibile visualizzare ciò che viene inviato tramite la tua connessione poiché stanno utilizzando HTTPS.

Per quanto riguarda il token di accesso, puoi semplicemente utilizzare un token di sessione come utilizzeresti con qualsiasi altra applicazione web. Se hai bisogno di un servizio RESTful, dovrai inviare il nome utente e la password per ogni richiesta.

    
risposta data 24.10.2014 - 13:08
fonte

Leggi altre domande sui tag