Crittografia di una cartella utilizzata per servire le immagini?

3

Ho un'applicazione Node.js che legge e scrive immagini da un server. Le immagini sono memorizzate in una directory su un sistema operativo Ubuntu. Le rotte statiche espresse servono immagini da quella cartella quando si accede a mywebsite.com/images/xyz.jpg . Attualmente, chiunque possa accedere al server può vedere cosa c'è dentro la cartella delle immagini. Voglio proteggere la privacy dei miei utenti. Come posso crittografare questa cartella di immagini ed essere ancora in grado di scrivere e fornire file da esso?

Grazie!

    
posta Ajay Ramesh 02.10.2016 - 03:49
fonte

2 risposte

3

La crittografia e l'accesso sono due cose diverse.

Certo, potresti criptare il contenuto di quella cartella. Ciò significa che la visualizzazione di tali contenuti in chiaro può essere eseguita solo da qualcuno con la chiave di crittografia e eseguendo un algoritmo di decrittografia. Rendere il tutto trasparente e performante sul web sarebbe un po 'di lavoro.

O potresti semplicemente controllare l'accesso ai file in quella cartella. Ubuntu ha un robusto sistema di autorizzazione dei file. Non dai a tutti quelli che loggano sul tuo server root, vero?

    
risposta data 02.10.2016 - 07:31
fonte
0

Questo è un po '"difficile" per risolvere il problema.

Come hai scritto:

Currently, anyone who can log into the server can see what's inside the image folder.

Suppongo che tu non lasci tutti sulla tua casella;)

Quindi c'è un gruppo di persone che è permesso (per ragioni) di accedere alla tua casella. Ma l'unica ragione per cui qualcuno dovrebbe essere autorizzato ad accedere alla scatola, includerebbe, che qualcuno ha i diritti sufficienti per aggirare qualunque precauzione operativa tu faccia (= diritti di accesso). Nel migliore dei casi: nessuno dovrebbe mai avere la necessità di accedere al tuo server. Le operazioni dovrebbero essere svolte tramite l'automazione. Quindi, a meno che la tua automazione non sia corrotta, i dati dell'utente dovrebbero essere relativamente sicuri, assumendo / a seconda di come è la tua applicazione.

Ciò che rimane è proteggere / crittografare il contenuto stesso.

Ci sono (forse) modi per farlo, ma la domanda è: ne varrebbe la pena?

A seconda del livello di sensibilità dei dati dell'utente: Se diffidate dei vostri sviluppatori in generale, questo è il problema, non come crittografare i dati.

La mia azienda lavora per il settore pubblico e in quanto tale con dati personali sensibili. Questo ha diverse implicazioni sulla sicurezza. Uno è: che solo 2 persone nell'intera azienda hanno accesso a tali dati (che non sono crittografati). E anche le informazioni sui file di registro per gli sviluppatori sono ridotte al minimo (i log reali vengono preparati e presentati manualmente agli sviluppatori).

    
risposta data 02.10.2016 - 12:56
fonte

Leggi altre domande sui tag