(Copiato da Ingegneria del software come suggerito)
Se ho scritto uno strumento per la privacy come applicazione Web .NET che deve essere ospitato in un sito di hosting commerciale, oltre a ospitarlo in un Paese che rispetta la privacy, come posso assicurare agli utenti che l'applicazione non è stata compromessa da una terza parte presso l'host?
Ovviamente verrà utilizzato SSL, i dati conservati saranno strongmente crittografati e gli assembly saranno il più possibile offuscati, ma questi non potranno che andare così lontano.
Non mi occupo di hacking o di problemi legali qui, sto specificatamente parlando dell'intervento fisico nella posizione del server relativo alla modifica del sito per acquisire le informazioni dell'utente.
Ad esempio, c'è un modo per garantire che i miei assembly non siano stati incapsulati per intercettare le credenziali di testo semplice passate a un'API?
Aggiorna
Potrei forse dare un'opzione affinchè l'utente possa fornire le proprie credenziali già crittografate usando la mia chiave pubblica. Questo apre la porta ad altre opzioni, come una cosa di tipo handshaking a 2 vie.
Ci sono altre opzioni più eleganti?