¿Es más seguro usar la aplicación Gmail a través de Web Gmail?

3

El uso de Web Gmail sobre Gmail es más seguro, por ejemplo, vea las siguientes opciones:

  • Android Google Chrome o aplicación de Android
  • Aplicación universal de Windows Google Chrome o Windows
  • Aplicación MacOS Safari o MacOS App Store
  • Aplicación de la tienda de aplicaciones iOS Safari o iOS
  • ¿Aplicación de escritorio de Linux para Google Chrome o Linux?

¿Sería eso cierto para otras aplicaciones si asumiéramos que cada aplicación almacenaría sus datos en su propio directorio y utilizaría una caja de arena estándar (en Linux hay más, en Windows principalmente Aplicaciones Universales)?

Por ejemplo, Google Maps para Linux se crea utilizando Epiphany , que utiliza su propia carpeta, y el sandbox puede añadido ningún problema.

Esto es para investigar si está haciendo una aplicación dedicada para, por ejemplo. La plataforma Windows, Linux, MacOS brindaría más seguridad en el navegador web, por ejemplo, la aplicación de banca.

    
pregunta Aria 03.10.2016 - 00:55
fuente

3 respuestas

5

Depende de lo que quiere decir con seguridad ... Tan pronto como use una aplicación de correo dedicado, conservará una copia de los mensajes en el cliente local. Dicho de otra manera, agregas un elemento a la cadena y la seguridad global de una cadena es la de su elemento más débil.

Dicho esto, el lado del servidor de seguridad es solo un nombre de usuario y contraseña. Por lo tanto, tener una copia local realmente no agrega debilidad, a excepción de la pregunta de seguridad física. Si tiene un escritorio en un edificio correctamente protegido, es probable que la cuestión de un robo de correo físico sea menos importante que la de una intrusión física. Si usa un teléfono o una computadora de escritorio que lleva consigo, el riesgo de un robo físico es mucho mayor, y debe considerar el uso de cifrado completo del disco.

Para la pregunta más general, la respuesta podría variar. Pero de todos modos, una aplicación de múltiples niveles debe tener al menos una capa de presentación (web o aplicación), una capa de negocios y una capa de persistencia. La capa de negocios y la persistencia deben estar del lado del servidor, y el núcleo de las reglas de autorización debe implementarse del lado del servidor en la capa de servicio. La autenticación debe ser la misma, y el protocolo entre el cliente y el servidor debe usar el mismo nivel de protección (TLS o SSL) con el certificado del servidor y la autenticación del cliente, por lo que, para el correo, la pregunta principal será la seguridad de los datos locales. / p>

Y no lo olvide, el elemento más débil de una cadena de seguridad suele ser el propio usuario: la contraseña más segura no podrá proteger su cuenta si está escrita en una nota al final de la pantalla. El contenedor de contraseñas de la mayoría de los navegadores puede ser un gran riesgo si no está protegido por contraseña, y la misma regla se aplica a las aplicaciones cliente enriquecidas.

    
respondido por el Serge Ballesta 03.10.2016 - 11:37
fuente
2

TL; DR Hay más cosas en las que pensar si solo va a la ruta de la aplicación frente al navegador.

En cualquier caso, deberá considerar la seguridad de la aplicación en el lado del servidor.

Los navegadores web y las aplicaciones igualmente necesitarán negociar cosas como SSL / TLS. Si sigue la ruta de la aplicación, también deberá tener en cuenta la seguridad de la aplicación. Tenga en cuenta el problema, como cert-pinning.

En general, el diseño del sistema al que solo se puede acceder mediante el navegador web coloca el 100% de la seguridad en el servidor; mientras que, una aplicación transfiere algunos de los riesgos de seguridad a la aplicación. Las aplicaciones también se pueden diseñar mediante ingeniería inversa para exponer información confidencial, por lo que se deben aplicar cuidados especiales al desarrollo de la aplicación y las pautas de codificación segura son especialmente importantes ( son importantes, sin embargo, más aún cuando se proporcionan al usuario ).

    
respondido por el HashHazard 03.10.2016 - 01:56
fuente
1

¿Específicamente Gmail, o aplicaciones en general?

Ir por la ruta web para una aplicación significa que la aplicación debe estar protegida contra el Top 10 de OWASP, por ejemplo

  • Fijación de sesión
  • Secuencias de comandos entre sitios
  • falsificación de solicitud de sitio cruzado
  • Cookies que comparten la misma política de origen para HTTPS y HTTP
  • clickjacking

Mi punto es que la web es insegura por defecto, mientras que una aplicación de cliente dedicada puede ser reforzada para eliminar algunas de las inseguridades presentes en la adopción de estándares web generales. Es decir, el cliente puede ser más simple en lo que está haciendo, ya que solo hará solicitudes de API al servidor y no está mezclando el código de UI con datos puros. Esto no significa que no sea necesario escribirlo de forma segura, solo que creo que hay menos "trampas" para que los desarrolladores sean víctimas.

    
respondido por el SilverlightFox 04.10.2016 - 13:30
fuente

Lea otras preguntas en las etiquetas