I dati non persistenti devono mai essere crittografati?

0

I dati non persistenti devono mai essere crittografati? Se avessi un progetto con dati riservati memorizzati in variabili di classe non persistenti dovrei fare qualcosa per proteggere questi dati?

Sto sviluppando per un'applicazione iOS.

    
posta Declan McKenna 08.04.2016 - 16:28
fonte

1 risposta

3

PCI DSS v3 sezione 6.5 richiama la necessità di proteggere i dati sensibili anche se è in memoria , per aiutare a contrastare gli attacchi di scraping della memoria. Quindi se ti aspetti di aver bisogno della conformità PCI, sì, dovresti proteggere i dati sensibili anche se sono in memoria.

Non so quale tecnologia stai usando, ma anche i dati non persistenti possono rimanere in circolazione per un po '. Ad esempio, le stringhe in .NET non vengono automaticamente distrutte quando tutti i loro riferimenti sono scomparsi. Le stringhe sono archiviate nell'heap e rimarranno lì fino a quando il garbage collector non le rimuoverà.

La crittografia dei dati nella ram può essere complicata dal momento che ora è necessario proteggere la chiave di crittografia. Una funzionalità nativa come Secure String di .NET, oppure un modulo di sicurezza hardware può essere utile in tali situazioni.

Ho visto questa scoperta sui test di penetrazione.

    
risposta data 08.04.2016 - 17:44
fonte

Leggi altre domande sui tag