Ho sviluppato un'applicazione stand-alone in modo tale che l'applicazione utilizza un servizio remoto (utilizzando SOAP / REST) disponibile sul WWW. Sto usando HTTPS attraverso le chiamate dell'applicazione. Stava funzionando perfettamente bene. Recentemente ho scoperto che alcuni utenti utilizzano un proxy Web come Fiddler per annusare il traffico delle applicazioni e monitorare i WSDL, le richieste e le risposte dell'applicazione. Ho introdotto JWT (Token Web JSON) per prevenire l'attacco dell'uomo nel mezzo, ma ancora una volta, i messaggi JWT possono essere catturati e decodificati per vedere le richieste e le risposte originali.
Ho trovato un altro modo per proteggere la richiesta e la risposta dell'applicazione è di crittografare i singoli pacchetti prima di inviare utilizzando algoritmi a chiave simmetrica come AES o zip up con crittografia AES. Ma questo influirà negativamente sulle prestazioni dell'applicazione.
C'è un altro modo per risolvere questo problema senza incidere molto sulle prestazioni delle applicazioni?