Información confidencial segura enviada desde el servidor a la aplicación móvil

5

Bien, tengo un servidor backend de rieles que es prácticamente un servidor de base de datos.

La base de datos contiene información sobre los diferentes tipos de una sustancia y la composición porcentual confidencial inherente de esa sustancia.

Los administradores en la aplicación pueden crear solicitudes de PATCH para actualizar los registros a lo largo del tiempo, y los usuarios de la aplicación en el inicio de sesión sincronizan su base de datos REALM local con el servidor en caso de que algún administrador haya agregado / eliminado / modificado algún registro. La base de datos de dominio en la aplicación se crea y encripta con una clave que se almacena en el llavero en el primer uso de la aplicación.

También en el primer uso, la aplicación se sincronizará completamente con el servidor, recuperando todos los registros de sustancias sensibles y almacenándolos en la base de datos REALM local cifrada.

Voy a cifrar la transmisión desde el exterior con ssl, e implementar la fijación de SSL para inhibir los ataques MITM.

¿Pero qué puedo hacer para evitar que el público descubra la composición de estas sustancias confidenciales?

La única razón por la que los datos se almacenan localmente es para uso sin conexión. De lo contrario, haría que los usuarios consultaran el servidor con el porcentaje de maquillajes que necesitaban, y el servidor regresara con los nombres de las opciones adecuadas.

    
pregunta Glenn-Mac 03.01.2016 - 23:16
fuente

2 respuestas

1

Nunca confíes en un usuario

¿Qué significa esto? Siempre asuma que un usuario tendrá acceso a cualquiera y todos los datos en el dispositivo de un usuario. No puedes evitar que lo obtengan porque solo pueden seguir a través de tu memoria, encontrarlo justo antes del cifrado y tomarlo.

Prevención

Un jefe de malas noticias. No puedes . Incluso si lo limita a estar en el servidor remoto, solo ellos pueden forzar bruscamente todas las combinaciones por las que sienten curiosidad y obtenerlo. Lo único que realmente puede hacer es hacer que no sea factible hacerlo con una limitación de velocidad para que les lleve AÑOS. Si tienen una copia local de la base de datos y solo buscan esa clave de cifrado en la memoria, pueden obtener los datos de cualquier manera.

  

Si pueden obtener los datos de cualquier manera, pueden obtener los datos.

Es una triste verdad de seguridad.

    
respondido por el Robert Mennell 02.06.2016 - 02:17
fuente
0

Como mencionó, SSL es bueno solo para proteger de MITM.

No hay nada que pueda hacer realmente para proteger los datos que almacenó en los dispositivos de los clientes. Los clientes siempre pueden encontrar algunos métodos simples o avanzados (dependiendo de la cantidad de esfuerzo que pongas en esto) que les permita leer y acceder a cualquier acceso a la aplicación del cliente.

    
respondido por el Yehuda 03.04.2016 - 01:28
fuente

Lea otras preguntas en las etiquetas