Best practice per la crittografia dal client specifico per il web

1

Se vogliamo consentire dati sensibili tra un server web e un client specifico, c'è altro che può essere fatto oltre a quanto segue?

Si noti che questo è potenzialmente un duplicato di Autenticazione del client senza chiave di codifica? ma l'attenzione qui è più su una buona soluzione entro questa limitazione (che non esiste una soluzione assolutamente definitiva per autenticare il client)

1) Tutti i flussi di traffico su SSL

2) Il client ha la chiave AES-256 hardcoded ma offuscata

3) Il server ha lo stesso tasto AES-256

4) Il cliente richiede la nuova "chiave di sessione"

5) Il server genera una chiave di sessione casuale e la crittografa con la chiave AES condivisa

6) Il client decodifica e tutti gli altri scambi avvengono su questa "chiave di sessione" (che è anche aes-256)

    
posta davidkomer 29.03.2015 - 07:25
fonte

1 risposta

2

Invece di usare una chiave hardcoded, dovresti usare l'autenticazione SSL reciproca. Utilizzando una chiave offuscata, non aggiunge alcuna sicurezza, certamente non quando stai già utilizzando SSL.

    
risposta data 29.03.2015 - 08:34
fonte

Leggi altre domande sui tag