Il TLS è sufficiente per impedire l'intercettazione? [duplicare]

2

È sufficiente utilizzare solo SSL / TLS per l'applicazione client-server con autenticazione, registrazione e trasmissione dati (come la chat)? Se non è quello che devo anche usare?

    
posta don-prog 22.02.2015 - 02:23
fonte

1 risposta

2

TLS può proteggere da un intercettatore che ha accesso solo al canale di comunicazione tra le due parti. Ma deve essere implementato correttamente, vale a dire cifrari forti, validazione corretta del peer ecc.

Non proteggerà dagli attacchi contro gli endpoint stessi. Questo non ti aiuterà se ci sono bug negli stack TLS usati (come nella maggior parte degli stack importanti nel 2014), buffer overflow o bug nella logica dell'applicazione (come cross-site-scripting). Se l'utente malintenzionato riesce a compromettere l'endpoint in qualche modo, sarà in grado di iniettarsi nell'applicazione per accedere ai dati non crittografati o alle chiavi di crittografia.

Pertanto gli attacchi si concentrano sul compromettere l'implementazione o l'endpoint stesso sovvertendo i metodi e le librerie utilizzate per la crittografia ( come generatori casuali ), compromettendo la catena di consegna per ottenere l'accesso ai tasti ( come con le sim card ) o infettare il computer durante la consegna già. Ma non hai bisogno di attacchi così avanzati perché il rilascio di malware tramite phishing o malvertising o attacchi di cameriera malvagi sono di solito sufficienti per compromettere un endpoint selezionato.

    
risposta data 22.02.2015 - 06:01
fonte