Cercando su Google come "sniffare / spiare le comunicazioni sicure SSL" si trovano molti riferimenti per essere in grado di fare alcune buone ipotesi sulla "destinazione target" una volta che la lunghezza del percorso è nota / indovinata.
-
Sarebbe di grande aiuto se si rendesse la lunghezza (in termini di numero di caratteri) insolitamente lunga, cosa abbastanza facile da fare, in modo che questa "lunghezza" dell'URL non ricada nei soliti schemi ?
-
Supponiamo che un'applicazione PHP si trovi su "server1.com" e passi da lì (è lì che si avvia uno sniffer) una chiamata API via SSL a "server2.com". "server2.com" non farebbe altro che prendere quella chiamata e "tradurla" per chiamare "server 3.com" (anche SSL protetto) come destinatario finale ... I server 1,2 e 3 sono con diversi ISP e in diverse aree geografiche.
Ciò renderebbe molto più difficile tracciare dove si trova la richiesta (e la risposta ritorna, supponendo che il ritorno seguisse la direzione opposta)?
Grazie
PS: ti sto chiedendo come stiamo discutendo internamente che (solo) un aspetto della "sicurezza" è di limitare "l'ammontare degli avversari" e la qualità delle informazioni che ha sul tuo sistema, che è molto più facile da valutare una volta che sa dove il tuo sistema è seduto URLwise, da qui la nostra discussione in corso sulle strategie adatte per oscurare la "destinazione target" per la chiamata API in modo che questa destinazione sia molto meno "indagata" sui suoi sistemi per identificare le sue debolezze (che ovviamente sono sempre esistono, in misura maggiore o minore)