archivos PDF en el sistema de archivos del servidor web

Navega tus respuestas
3

Creamos archivos PDF relevantes para la comunicación por correo electrónico de un cliente. Estos PDF contienen información personal específica del cliente. Al cliente se le envía por correo electrónico un enlace al PDF. El enlace al PDF contiene una cadena única de 40 bytes específica para esta comunicación para garantizar la singularidad y evitar adivinar.

¿Existe alguna práctica recomendada con respecto a este enfoque, pueden colocarse los archivos PDF directamente en el servidor web o deben tomarse medidas adicionales para evitar la recolección o cualquier otro ataque a la privacidad de nuestros clientes?

¿Habría una ganancia de seguridad adicional al almacenar los PDF en una base de datos, en lugar de colocarlos directamente en el sistema de archivos del servidor web (suponiendo que esté bien asegurado)?

    
pregunta Jonas 23.05.2013 - 11:34
fuente

2 respuestas

3

Mi sugerencia sería la siguiente:

  • Almacene los archivos PDF en una partición LUKS (o GPG full-disk / TrueCrypt full-disk), para que el robo de los discos físicos no debe proporcionar los datos.
  • Ejecute un servidor HTTP secundario cuyo único trabajo es servir estos archivos. Configure sus permisos de archivo de modo que solo ese servidor HTTP pueda leer los PDF. Esto proporciona una superficie de ataque mínima para el robo de datos e impide que el servidor HTTP principal lea los archivos.
  • Configure el inicio de sesión único o algo similar para autenticarse entre los dos servidores.
  • Solo sirve los archivos a través de HTTPS, con SSL 2.0 y anteriores deshabilitados, preferiblemente con AES-GCM establecido como el cifrado preferido.

Almacenarlos en la base de datos no tendría mucho sentido, ya que el acceso al disco aún generaría los archivos.

    
respondido por el Polynomial 23.05.2013 - 12:39
fuente
0

Independientemente de la longitud y la complejidad de la cadena única, se puede adivinar un nombre de archivo o se puede interceptar un enlace de comunicación comprometido para conocer los nombres de los archivos.

¿Por qué no está utilizando un método como scp, si todo lo que está haciendo es hacer que los archivos pdf estén disponibles para su cliente? De esta manera, ¿puede forzar al usuario (destinatario) a ingresar una contraseña o tener una clave ssh previamente autorizada para recuperar sus archivos? De cualquier manera, el usuario final tiene una pieza única de información de identificación, el acceso puede estar limitado a aquellos que tienen la información de identificación correcta. De ahí que todo el esquema sea más seguro.

Sólo un pensamiento ...

    
respondido por el MelBurslan 23.05.2013 - 12:18
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede uno recuperarse de Yahoo! ¿Ataque XSS? Múltiples certificados de servidor SSL