Vulnerabilità in Host Proof Hosting

3

Di recente ho svolto ricerche su Host-Proof Hosting , in particolare in un ambiente di app Web. Sembra un metodo di sicurezza abbastanza solido, ma non sono certo un esperto di sicurezza e vorrei avere altre opinioni.

A parte le ovvie vulnerabilità lato client (key logger, osservazione fisica, ecc.), quali sono le vulnerabilità in Host-Proof Hosting?

Come nota, l'app web che sto cercando utilizza SSL per tutte le connessioni, quindi un attacco man-in-the-middle di base non conta qui (anche se, non so che sarebbe importante molto).

    
posta jwegner 19.07.2012 - 19:30
fonte

1 risposta

3

Se il tuo obiettivo è quello di mitigare i rischi di compromissione del database del server o dell'archivio dati, può essere utile crittografare i dati sul lato client (prima che raggiunga il server).

  • Se una copia del database del server cade in mani nemiche, probabilmente il nemico non sarà in grado di decifrare tutto (il meglio che il nemico può fare è il cracking delle password, che potrebbe rivelare alcuni dei dati ma non tutto).

  • Se un nemico compromette il server, il nemico non impara troppo sui dati precedentemente memorizzati (il nemico può ottenere una copia del database del server, ma questo non rivelerà troppo sui dati precedentemente memorizzati) . Tuttavia, il nemico può ancora spiare tutti i dati successivi, inserendo una backdoor nel Javascript che viene inviata ai client.

Se il tuo obiettivo è proteggere contro un server malevolo, o assicurarti che se qualcuno compromette il server non possa fare alcun danno, allora "host-proof hosting" (crittografare i dati sul lato client) non può essere all'altezza di quelli obiettivi. Non può impedire a un server compromesso di inviare codice Javascript backdoored al client. Se Javascript è backdoor, non puoi fare affidamento su di esso per crittografare correttamente i tuoi dati.

Vedi anche Javascript Cryptography Considerato Nocivo e le domande a cui @Andrey Botalov ha collegato, per ulteriori informazioni.

    
risposta data 20.07.2012 - 14:56
fonte

Leggi altre domande sui tag