Proteggi un'applicazione che utilizza internet dallo sniffing dei pacchetti

2

Ho sviluppato un'applicazione stand-alone in modo tale che l'applicazione utilizza un servizio remoto (utilizzando SOAP / REST) disponibile sul WWW. Sto usando HTTPS attraverso le chiamate dell'applicazione. Stava funzionando perfettamente bene. Recentemente ho scoperto che alcuni utenti utilizzano un proxy Web come Fiddler per annusare il traffico delle applicazioni e monitorare i WSDL, le richieste e le risposte dell'applicazione. Ho introdotto JWT (Token Web JSON) per prevenire l'attacco dell'uomo nel mezzo, ma ancora una volta, i messaggi JWT possono essere catturati e decodificati per vedere le richieste e le risposte originali.

Ho trovato un altro modo per proteggere la richiesta e la risposta dell'applicazione è di crittografare i singoli pacchetti prima di inviare utilizzando algoritmi a chiave simmetrica come AES o zip up con crittografia AES. Ma questo influirà negativamente sulle prestazioni dell'applicazione.

C'è un altro modo per risolvere questo problema senza incidere molto sulle prestazioni delle applicazioni?

    
posta javad_shareef 14.06.2013 - 07:16
fonte

1 risposta

4

Se tutto viene eseguito tramite HTTPS, tutta l'applicazione deve fare in modo che il certificato sia corretto e valido.

L'attacco Man in the middle può solo decrittografare il traffico HTTPS rovinando il certificato originale ed emettendo uno [generalmente] autofirmato alla comunicazione peer locale.

    
risposta data 14.06.2013 - 08:34
fonte

Leggi altre domande sui tag