Cosa offre migliori garanzie contro la decrittazione / hacking: HTTPS o un'app mobile ben fatta?

Naviga le tue risposte
1

Alla luce del recente exploit WPA2 KRACK (che molti produttori di dispositivi e sistemi operativi devono ancora risolvere o correggere), considera tutte le connessioni Wi-Fi non crittografate ai fini della domanda.

Sul lato 1 della domanda: un'app Web del browser che utilizza HTTPS avanzato (che identifica il proprietario) (si presenta come l'icona di un lucchetto verde in Firefox)

Dall'altro lato della domanda: un'app appositamente progettata per dispositivi mobili per lo stesso servizio che utilizza il proprio schema di autenticazione e crittografia

Supponiamo che gli sviluppatori e gli amministratori sia per l'app browser sia per l'app mobile siano competenti e vigili: i difetti e gli exploit in entrambi vengono rilevati e risolti rapidamente. Gli sviluppatori di app browser non hanno alcun controllo sul browser utilizzato (tranne che contrassegna browser specifici come non supportati o bloccandoli completamente).

Quale offre migliori garanzie contro la decrittazione e le intercettazioni non autorizzate? Intuitivamente, l'app mobile dovrebbe avere maggiori garanzie rispetto a un'app per browser in quanto sono noti attacchi contro HTTPS in cui il browser viene ingannato usando uno schema di crittografia debole (nei casi più eclatanti, lasciando completamente la crittografia per determinati elementi nella pagina). Un'app mobile non dovrebbe presentare questo problema considerando che lo sviluppatore può specificare uno schema di crittografia strong sia sul client che sul server.

    
posta user1258361 03.11.2017 - 19:03
fonte

2 risposte

1

Penso che quello che chiedi sia se il browser o l'app per dispositivi mobili è più sicuro perché HTTPS è utilizzato in entrambi. La maggior parte delle app mobili sono simili alle pagine Web e utilizzano le API JSON e Restful. In tal caso, l'App è potenzialmente più sicura perché hai un maggiore controllo sul lato client, e puoi usare SSL Pining e gli utenti non possono essere ingannati con errori di digitazione o qualcosa del genere.

    
risposta data 03.11.2017 - 22:17
fonte
0

Dato lo scenario in cui sviluppatori e amministratori sono essenzialmente perfetti, non c'è nulla da scegliere tra loro. Entrambi utilizzeranno più o meno probabilmente metodi uguali o altrettanto potenti per crittografare i dati in transito e quindi saranno altrettanto sicuri.

Se consideri il lucchetto verde come "migliorato", allora questa è una minima differenza. Significa solo che il proprietario del dominio ha pagato più soldi per sottoporsi a un controllo marginalmente più approfondito di quello che dicono di essere. Non ha alcun effetto sulla qualità della crittografia.

Gli amministratori perfetti sapranno configurare i server in modo che non utilizzino cifrari deboli e utilizzino HSTS. Gli sviluppatori perfetti sapranno che sviluppare la propria crittografia è incredibilmente difficile e che implementare correttamente HTTPS nell'app è molto più semplice e sicuro.

Se dovessi sbagliare da un lato, preferirei che il browser fosse leggermente migliore. I fornitori di browser stanno diventando sempre più severi nel rispettare i problemi dei certificati. In Chrome ora non puoi più fare clic su questo tipo di avviso. Considerando che senza un serio know-how l'app potrebbe essere interamente non criptata e non si potrebbe dire. Questo è successo con alcune applicazioni bancarie ... penseresti che avrebbero saputo meglio.

link

    
risposta data 04.11.2017 - 00:44
fonte

Leggi altre domande sui tag

Ignorare la protezione "double submit cookie"? SSRF PoC utilizzando fill="url (...)" con percorso assoluto