Come proteggere o (garantire l'integrità) dei dati Web in transito e in negozio?

Naviga le tue risposte
3

Considera (scenario abituale) Sei il proprietario di un sito web del carrello acquisti e sei ospitato su Internet, ora la tua società di hosting ti fornisce un database per memorizzare i tuoi dati. Se parliamo di sicurezza, ne abbiamo bisogno per:

  • Protezione di file e cartelle sul server (autorizzazioni di accesso).
  • Database: protezione del database con password.
  • Programmazione: protezione del carrello acquisti (protezione dell'applicazione Web).
  • Dati in transito: protezione dei dati in transito quali (registrazione utente, pagamenti, fatture, ecc.) quando il client invia al server e quando il server invia risposte al client (moduli, cronologia ordini, profilo utente, ecc.)

La grande domanda: come garantire l'integrità?

  • Determinare l'accesso non autorizzato che ha modificato o provato a modificare i dati?
  • Determinazione dell'accesso autorizzato che ha provato o ha fatto azioni non autorizzate?
  • Determinazione dell'integrità dell'intero sistema

DB Ad esempio, i dati salvati in database come MySQL e MSSQL non sono crittografati, sono considerati sicuri sul server DB, anche per le righe di hug, la crittografia diminuisce le prestazioni e se l'hacker ottiene accesso al server DB, può anche ottenere la chiave privata.

File e cartelle Consideriamo che abbiamo crittografato tutti i file che eseguono azioni critiche (come controllo degli accessi, salvataggio dei dati, ecc.), Ora, in ogni caso, se l'attaccante ha accesso al server, può aggiungere una riga per inviare tutto ($ _POST, $ _SESSION, $ _COOKIE e $ _GET) a un'email.

Dati in transito Si consideri che SSL è implementato, ma l'attacco man-in-the-middle può ottenere una copia del traffico (questo è possibile). Quante reti tra me e stackexchange.com ora? migliaia! Io - > Il mio ISP (Client - > Core - > Border Routers - > Foreign ISP - > Foreign ISP - > Stackexchange Data Center - > Some Cluster o qualsiasi altro modello - > Stackexchange) Come possiamo garantire che i dati tra queste reti non vengano modificati?

Vedi questa immagine! che attualmente disponibile non è solo un'idea:

A questo punto: sto chiedendo c'è qualche meccanismo per una migliore sicurezza per le applicazioni Web che dipende sempre dai dati in Transit? Spero di ottenere delle risposte che mi facciano passare in questa tristezza per la sicurezza: (

    
posta Akam 31.01.2013 - 22:22
fonte

1 risposta

2

Mantieni tutto crittografato con SSL con un certificato SSL correttamente firmato da una CA affidabile. I server Web / le autorità di certificazione non devono fornire le proprie chiavi SSL private, in modo simile i browser Web dovrebbero fidarsi solo di un set minimo di autorità di certificazione rispettate.

Questo impedisce agli intercettatori di decifrare / alterare le comunicazioni 1 .

1 Potrebbero rilasciare pacchetti o alterare casualmente un pacchetto, il che con una probabilità molto alta comporterebbe la decodifica del pacchetto (equivalente al rilascio di un pacchetto).

Tineye dice che la tua immagine proviene da: link , che ha la sua documentazione online su: link (fai attenzione al file doc). Questa documentazione indica specificamente la sua limitazione:

Note: Certificate Error Warning will appear at target user Web Browser. This problem can be resolved by having own trusted Certificate Authority (CA). For more information, please contact Decision Group.

Quindi, per utilizzare questo prodotto è necessario affidarsi alla CA del proprio browser per firmare un certificato per l'attacco MITM, che CA valida non dovrebbe eseguire; tuttavia i governi invasivi potrebbero essere in grado di farlo (soprattutto se il tuo browser si fida di tutte le CA predefinite).

    
risposta data 31.01.2013 - 23:52
fonte

Leggi altre domande sui tag

Computer di fronte pubblico in un laboratorio multimediale Come verificare DNSKEY utilizzando il DS corrispondente