Sto usando un insieme di API REST create usando Java Spring. Devo passare un valore crittografato dal client a un servizio REST. Il client richiama una richiesta GET.
La mia domanda è quanto sia sicuro ed efficiente passare il valore crittografato (come una stringa) nella stringa di query. Se non è sicuro, quali sono le alternative che ho?
Supponendo che il rischio possa essere un attacco MiTM tra il client Spring e il servizio REST, non è necessario che si tratti di una stringa di query o di un corpo POST. Una stringa di query verrebbe memorizzata nella cache (in un browser, server proxy, ...) che potrebbe portare alla divulgazione; ma nel complesso vorrei incoraggiare l'uso della crittografia end-to-end.
Se il client Spring garantisce che sta parlando con il giusto servizio REST (convalida cert, pinning, ...), allora puoi inviare "segreti" su tale connessione con una ragionevole garanzia di riservatezza e integrità.
Inoltre, non so quale sia il tuo valore "crittografato", se è crittografato con una chiave condivisa, quindi qualcuno potrebbe spendere abbastanza risorse / tempo per decodificarlo e ottenere il segreto. Se stai inviando dati segreti; cercare di stare lontano dalle implementazioni personalizzate; un tunnel SSL / TLS end-to-end è stato dimostrato molto solido.
Leggi altre domande sui tag java rest encryption spring-framework