Ho pensato che se TLS è ben implementato è sufficiente per la sicurezza.
Oggi ho analizzato PubNub (Global Data Stream Network) e ho trovato questi passaggi per la sicurezza:
- comunicazione su TLS
- AES-256 per crittografare e amp; decrittografare i dati
- e firma dei messaggi con HMAC
Non è ridondante e inutile usare il secondo e il terzo passo? Ho pensato che TLS sia una soluzione tutto in uno.
Per favore mi raccomandi alcuni libri relativi a questo argomento.
Voglio implementare un servizio mission critical per migliaia di persone e voglio imparare come farlo correttamente prima di iniziare.