Forse sono troppo paranoico, ma dopo aver letto le ultime notizie sulla sicurezza della rete, sto iniziando a credere che SSL non è più abbastanza per le trasmissioni di dati sensibili.
Rif:
Sono uno sviluppatore web che sta studiando la costruzione di alcune nuove API, principalmente per uso privato (le macchine aziendali parlano tra loro). Alcuni sistemi potrebbero essere al di fuori della rete aziendale. La mia domanda riguarda la sicurezza aggiuntiva relativa alle API stesse.
Qualcuno ha mai pensato o ha implementato qualcosa come PGP o AES per crittografare tutti i dati effettivamente andando avanti e indietro all'interno delle comunicazioni API?
Sto parlando di che ancora usa SSL come wrapper per la coperta all'esterno, ma poi fa un passo avanti crittografando l'intero payload. Ovviamente questo crea un po 'di overhead in crittografia / decrittografia su entrambe le estremità. Il fatto è che sto bene concettualmente. L'hardware è economico.
Ciò a cui non sono particolarmente affezionato è semplicemente l'invio dei miei dati in testo chiaro e l'inserimento di tutte le mie uova nel cestino SSL.
Pensieri?