Se vogliamo consentire dati sensibili tra un server web e un client specifico, c'è altro che può essere fatto oltre a quanto segue?
Si noti che questo è potenzialmente un duplicato di Autenticazione del client senza chiave di codifica? ma l'attenzione qui è più su una buona soluzione entro questa limitazione (che non esiste una soluzione assolutamente definitiva per autenticare il client)
1) Tutti i flussi di traffico su SSL
2) Il client ha la chiave AES-256 hardcoded ma offuscata
3) Il server ha lo stesso tasto AES-256
4) Il cliente richiede la nuova "chiave di sessione"
5) Il server genera una chiave di sessione casuale e la crittografa con la chiave AES condivisa
6) Il client decodifica e tutti gli altri scambi avvengono su questa "chiave di sessione" (che è anche aes-256)