Passaggio di un valore crittografato nella stringa di query API Spring REST di Java

0

Sto usando un insieme di API REST create usando Java Spring. Devo passare un valore crittografato dal client a un servizio REST. Il client richiama una richiesta GET.

La mia domanda è quanto sia sicuro ed efficiente passare il valore crittografato (come una stringa) nella stringa di query. Se non è sicuro, quali sono le alternative che ho?

    
posta user3496510 05.01.2017 - 05:41
fonte

1 risposta

1

Supponendo che il rischio possa essere un attacco MiTM tra il client Spring e il servizio REST, non è necessario che si tratti di una stringa di query o di un corpo POST. Una stringa di query verrebbe memorizzata nella cache (in un browser, server proxy, ...) che potrebbe portare alla divulgazione; ma nel complesso vorrei incoraggiare l'uso della crittografia end-to-end.

Se il client Spring garantisce che sta parlando con il giusto servizio REST (convalida cert, pinning, ...), allora puoi inviare "segreti" su tale connessione con una ragionevole garanzia di riservatezza e integrità.

Inoltre, non so quale sia il tuo valore "crittografato", se è crittografato con una chiave condivisa, quindi qualcuno potrebbe spendere abbastanza risorse / tempo per decodificarlo e ottenere il segreto. Se stai inviando dati segreti; cercare di stare lontano dalle implementazioni personalizzate; un tunnel SSL / TLS end-to-end è stato dimostrato molto solido.

    
risposta data 05.01.2017 - 21:45
fonte

Leggi altre domande sui tag