Una chiave predefinita è abbastanza sicura quando si eseguono richieste HTTP tra due server sicuri?

Naviga le tue risposte
3

Ho uno script AdWords che trasferisce regolarmente dati sensibili al mio server utilizzando una richiesta HTTP POST. Per sicurezza ho una stringa randomizzata di 32 caratteri predefinita che viene verificata dal mio server prima che accetti i dati. È sicuro?

Non so molto sul protocollo HTTP, ma so che i dati vengono inviati in chiaro. È probabile / possibile per qualcuno accedere ai dati durante la richiesta? Da quello che ho capito, il protocollo HTTPS è molto utile quando si trova su una rete non fidata, dove è facile per chiunque spiare i propri pacchetti. Nel mio caso, i dati vengono inviati dai server di Google ai server del mio ospite (DreamHost in questo caso). Sarebbe prudente da parte mia aggiornare a HTTPS, o sarebbe inutile? Ci sono altre insidie nella sicurezza di cui dovrei essere a conoscenza?

Accetterò la prima risposta che chiarisce la mia situazione.

    
posta Hubro 12.03.2013 - 00:19
fonte

3 risposte

3

I tuoi pacchetti, inclusa la chiave sicura, possono essere annusati. Se non criptato da HTTPS o da qualche altro protocollo, tieni aperto su Internet selvaggio selvaggio

    
risposta data 12.03.2013 - 00:40
fonte
2

Sarebbe davvero prudente effettuare l'upgrade a HTTPS. C'era una volta, i certificati SSL necessari per HTTPS erano costosi, ma in questi giorni li ho visti per prezzi ridicolmente bassi come $ 6 all'anno.

Se è effettivamente probabile / possibile per qualcuno accedere ai dati durante la richiesta - guarda, realisticamente, probabilmente non lo è. Non stai facendo questa comunicazione sulla connessione wi-fi gratuita in un bar. Ma sinceramente non penso che valga la pena provare a risparmiare qualche dollaro all'anno non usando HTTPS.

Sicuramente ci sono (o potrebbero esserlo in futuro) alcune altre funzionalità della tua applicazione web che potrebbero beneficiare di HTTPS?

    
risposta data 12.03.2013 - 00:28
fonte
0

No, perché qualcuno potrebbe ispezionare facilmente il tuo JavaScript, acquisire la chiave casuale e spoofare l'input.

Cioè, a meno che il tuo input non sia criptato o hash; e dei due, l'hashing è sicuramente l'opzione migliore.

Inoltre - Un'altra domanda - La tua chiave randomizzata è randomizzata su base per utente o per sessione? Se non è né l'uno né l'altro, e stai utilizzando una chiave globale, direi che sei molto vulnerabile allo spoofing.

EDIT: alla luce del fatto che questo codice è in esecuzione su Google App Engine, non sei così vulnerabile allo spoofing (a meno che un ingegnere di Google non possa potenzialmente ispezionare il tuo codice). Quindi, in generale, come altri hanno già detto, eliminare gli attacchi man-in-the-middle con HTTPS.

    
risposta data 12.03.2013 - 00:46
fonte

Leggi altre domande sui tag

Come posso ottenere git per clonare i file non tracciati Devo includere le informazioni complete sulla licenza gpl v2 nel mio progetto commerciale se utilizzo il lavoro di un altro autore?