La crittografia del valore dell'intestazione HTTP fornisce ulteriore sicurezza?

1

Payload prima della crittografia:

HTTP/1.1 200 OK
Authorization: password
Content-Encoding: UTF-8
Content-Length: 138

{ "command" : "delete all records" }

Carico utile dopo la crittografia dell'intestazione Autorizzazione:

HTTP/1.1 200 OK
Authorization: spxnxkoJX+O1iatF6gco9Q==
Content-Encoding: UTF-8
Content-Length: 138

{ "command" : "delete all records" }

Il protocollo NON è su SSL.

Modifica

Nel nostro progetto, il mio senior ha aggiunto questo ulteriore livello di sicurezza (secondo la sua opinione), con il quale non sono d'accordo. Secondo la mia opinione, questo aggiungerà un costo aggiuntivo di crittografia e decrittografia del valore dell'intestazione e senza alcun vantaggio in termini di sicurezza.

Voglio assicurarmi, se ha davvero ragione?

    
posta Nilesh 13.07.2016 - 07:37
fonte

1 risposta

4

Does encrypting HTTP header value provide additional security?

Non esiste una risposta generale per questo, ma dipende da cosa esattamente stai facendo e dal tipo di "sicurezza aggiuntiva" che desideri.

Nel tuo caso sembra che hai appena sostituito una password in testo semplice con una password crittografata. A meno che tu non abbia una protezione di riproduzione inserita nell'algoritmo di crittografia sconosciuto, l'utente malintenzionato potrebbe semplicemente annusare la tua password crittografata e riprodurla in un secondo momento. Il che significa che non fornisce una sicurezza aggiuntiva se il tuo obiettivo è rendere l'autenticazione più sicura. Se il tuo obiettivo è invece quello di nascondere solo la password del testo in chiaro per rendere più difficile il riutilizzo della password, la crittografia potrebbe aiutare.

    
risposta data 13.07.2016 - 07:44
fonte

Leggi altre domande sui tag