Protezione dei dati trasmessi tra due siti tramite un browser

0

Devo passare alcuni dati in modo sicuro da un sito Web a un altro tramite un browser.

Un utente visita il sito A e fa clic su un collegamento lì che lo porta al sito B; questo potrebbe essere solo un collegamento che produce una richiesta GET o un pulsante di invio di un modulo, che produrrebbe POST, o va bene. La comunicazione è un altro HTTPS.

Alcuni dati vengono inviati con la richiesta. I dati non sono lunghi, fino a 20 simboli. Devo assicurarmi che nessuno, tranne il sito A e B, possa capirlo, nemmeno l'utente che sta gestendo il browser.

Sto anche pensando che potrei voler ottenere il sito A per firmare i dati, ma non sono sicuro di aver davvero bisogno di questo. Tecnicamente per me non è un problema condividere la chiave tra questi 2 siti.

Il valore che ho bisogno di proteggere è solo un nome utente. Sto pensando di crittografarlo con l'algoritmo AES utilizzando una chiave a 256 bit sul sito A e decrittandolo sul sito B con la stessa chiave. Non ho intenzione di utilizzare alcun tipo di sale.

Le domande sono: l'approccio che sto pensando può essere considerato alquanto sicuro o molto vulnerabile?

    
posta Kirill G. 17.06.2016 - 04:24
fonte

1 risposta

0

I need to pass some data securely

Che cosa intendi esattamente "in modo sicuro" , vuoi dire che:

  • Non vuoi che l'utente sia in grado di leggere il contenuto dei dati protetti (ad esempio, vuoi garantire i dati riservatezza ),
  • Non vuoi che l'utente sia in grado di manomettere o falsificare i dati (ad esempio, vuoi garantire i dati integrità )?

Semplicemente crittografando i dati, si garantisce esclusivamente la riservatezza dei dati. Senza conoscere la chiave, un utente malintenzionato potrebbe comunque provare a modificare i dati crittografati per provare, ad esempio, ad accedere ai dati di un altro utente.

Se vuoi garantire l'integrità dei dati, non hai bisogno di firme asimmetriche (funzionerebbe, ma come ritieni sarebbe eccessivo), ciò che ti serve è applicare un HMAC ai dati. Grazie a questo, dato un segreto comune, il sito B sarà in grado di verificare che i dati presumibilmente ricevuti dal sito Web A siano effettivamente autentici.

Da quel momento in poi, il fatto di voler applicare una funzione crittografica per nascondere il contenuto dei dati dipende totalmente da te. I dati potrebbero rimanere perfettamente in forma chiara senza ridurre la sicurezza dell'HMAC come sistema di protezione dell'integrità.

    
risposta data 17.06.2016 - 12:09
fonte

Leggi altre domande sui tag