lato server Https, così come la crittografia client?

Naviga le tue risposte
0

Sono nuovo nella crittografia dei dati e non capisco quanto segue:

  1. Converto il mio dominio in un dominio "https", tramite qualcosa come "Lets Encrypt".
  2. Ho un'app per Android che parla con un'API sul mio dominio.
  3. Devo ancora eseguire la crittografia lato client utilizzando una chiave pubblica nell'app per Android - > invia i dati crittografati alla mia API - > decodificarlo sul server usando la mia chiave privata? Che cosa significa se il mio dominio è già https? Devo distribuire le chiavi pubbliche a tutti gli utenti che visitano il mio dominio? Come faccio?
posta brugia 18.08.2017 - 01:33
fonte

1 risposta

2

No, l'intero punto di TLS è crittografare il traffico tra la tua app e il tuo server. TLS offerte con la distribuzione delle chiavi, che altrimenti sarebbe un problema davvero difficile. TLS è stato creato esattamente per risolvere il tuo problema. L'aggiunta di un altro livello di crittografia che è essenzialmente uguale a TLS non aggiunge alcuna sicurezza per il sistema. Aumenta solo la complessità (superficie di attacco).

Assicurati che la tua implementazione TLS sia sicura e gli utenti non possano aggirarla (usando legacy HTTP o qualcosa del genere). Prendi in considerazione l'utilizzo di funzioni di sicurezza moderne come una severa politica di trasporto e l'attenzione alla sicurezza Web (XSS, CSRF, ecc.). L'esperienza mostra che la maggior parte delle volte le implementazioni non sono sicure, non la crittografia.

    
risposta data 18.08.2017 - 05:07
fonte

Leggi altre domande sui tag

Directory traversal in un URL? Comunicazione TOR dall'uscita all'origine