Non penso che importi veramente il modo in cui la tua applicazione gestisce i dati; se un utente malintenzionato può accedere alla memoria dell'applicazione, viene comunque arrestato, indipendentemente dalle misure di sicurezza adottate. Quindi, una volta terminata la connessione, non importa come la gestisci, ma è importante la modalità di archiviazione.
La risposta è che devi archiviarlo crittografato, ma il problema è come mantenere privata la chiave di crittografia: Dove memorizzare una chiave per la crittografia?
Oltre a questo, non penso ci sia molto da fare.
Non c'è nulla di speciale nel "traffico SSL". SSL è usato per scambiare byte , e c'è solo un tipo di byte: quelli che contengono 8 bit. Qualsiasi valore di byte può essere gestito da SSL e SSL non fa nulla che dipende dal che significa di questi byte. Una volta ricevuti i byte dei dati, non c'è più SSL; SSL è solo per trasferimento e non un attributo dei dati stessi (nello stesso modo in cui l'acqua inviata attraverso un tubo di rame non è in rame, è solo "acqua" e rame il tubo è totalmente irrilevante una volta che l'acqua è uscita).
Il termine corretto è "dati sensibili" : se i dati sono stati giudicati validi con SSL per il loro trasferimento, allora sono probabilmente dati di un valore che dovrebbe essere mantenuto lontano dagli occhi indiscreti e dalle dita inquisitive di terzi (gli "attaccanti"). Pertanto , se i dati devono essere memorizzati da qualche parte, allora dovrebbero probabilmente essere memorizzati con cura. Non perché è venuto su SSL; ma perché i dati ne hanno intrinsecamente bisogno.
Analogia: immagina di trasferire una tonnellata di oro puro da un punto a un altro. Probabilmente vorrai usare un camion blindato e alcune guardie armate. E poi, sul punto di ricezione, vorrai un caveau, di nuovo con guardie armate. Avrai bisogno del caveau e delle guardie perché l'oro è stato trasferito con un camion blindato? Ovviamente no; è il contrario: hai usato un camion corazzato perché l'oro vale molto ed è destinato ad attirare i ladri. E tu hai bisogno del caveau per la stessa ragione. Se avessi usato un camion blindato e delle guardie per trasportare una tonnellata di rape, non avresti usato un caveau con guardie armate per l'immagazzinamento, anche se fosse stato consegnato con un camion blindato (e, naturalmente, il camion potrebbe essere visto come un po 'eccessivo per le rape).
Lo storage sicuro di dati sensibili, soprattutto di natura finanziaria, può essere piuttosto impegnativo. Esistono norme per questo, e la conformità è spesso un requisito inevitabile. Ti consiglio di cercare PCI DSS .
Questo è fondamentalmente un problema di sicurezza rispetto ai messaggi e ai messaggi: gli endpoint sono i punti di demarcazione per la sicurezza dei trasporti, ad es. SSL, mentre l'infrastruttura software ha più controllo / flessibilità rispetto alla sicurezza basata sui messaggi - questo problema è stato affrontato qui in precedenza - < a href="https://security.stackexchange.com/questions/5089/when-should-i-use-message-layer-encryption-vs-transport-layer-encryption"> Quando dovrei usare la crittografia del livello del messaggio rispetto al trasporto crittografia dei livelli
Leggi altre domande sui tag tls