Come verificare se il client SSH non sta registrando i miei dati di accesso?

1

ci sono molti client SSH che è possibile utilizzare con Android, ad esempio Client JuiceSSH , quindi ho un problema di sicurezza, ovvero, come posso sapere o verificare che questa app non registra le mie credenziali quando autenticarmi sul mio server?

    
posta Rep 27.12.2017 - 18:02
fonte

2 risposte

1

È difficile verificare che le informazioni di accesso non vengano trasmesse a terzi. Un'applicazione dannosa potrebbe scegliere di condividere le tue credenziali direttamente (o in un secondo momento) con un utente malintenzionato (possibilmente in forma crittografata).

Possibili soluzioni o attenuazioni:

  • Utilizza un client SSH opensource come ConnectBot , il codice sorgente è disponibile per poterlo controllare o creare da solo.
  • Utilizza le chiavi SSH invece dell'autenticazione basata su password. Mentre un utente malintenzionato può anche copiare la chiave SSH privata su una terza parte, la revoca di una chiave SSH dovrebbe essere più semplice rispetto alla modifica e alla memorizzazione di una nuova password.
  • Affidati al (numero di) utenti e recensioni del prodotto, controlla lo sfondo dell'autore.
risposta data 27.12.2017 - 18:49
fonte
1

Consiglio vivamente di leggere Riflessioni sulla fiducia fidata un breve intervento di Ken Tompson Mostra quanto sia difficile verificare che non stia succedendo nulla di malvagio in un programma in esecuzione. Devi fidarti dell'autore del programma, del compilatore e del compilatore del compilatore e del sistema operativo, del BIOS ecc. Ecc.

Puoi minimizzare il rischio, usare un programma ben recensito, eventualmente rivederlo da solo. Anche se alcuni problemi potrebbero essere difficili da trovare anche se presenti nel codice sorgente: link ) Puoi provare a monitorare il comportamento dell'applicazione, per comportamenti sospetti specifici, come connettersi ad altri server a cui non hai richiesto, ma esistono tecniche per filtrare ex-data che sono difficili da rilevare, specialmente se sono nuove. La maggior parte di noi si concentra sull'utilizzo di software open source ben noto recuperato da una fonte attendibile e firmato da una fonte attendibile. Misure supplementari sono possibili anche se di solito non ne vale la pena.

    
risposta data 27.12.2017 - 20:11
fonte

Leggi altre domande sui tag