Vulnerabilidades en Host Proof Hosting

Question

Vulnerabilidades en Host Proof Hosting

#1 de D.W. (3 votos)

3

Recientemente he estado investigando Host-Proof Hosting , específicamente en un entorno de aplicación web. Parece un método de seguridad bastante sólido, pero ciertamente no soy un experto en seguridad y me gustaría obtener otras opiniones.

Aparte de las vulnerabilidades obvias del lado del cliente (registradores clave, observación física, etc.), ¿cuáles son las vulnerabilidades en el Hosting Proof Hosting?

Como nota, la aplicación web que estoy buscando utiliza SSL para todas las conexiones, por lo que un ataque básico de intermediarios no contaría aquí (aunque, no sé si importaría mucho).

web-application encryption client-side

pregunta jwegner 19.07.2012 - 19:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application encryption client-side

¿cuál es la función del servidor RADiUS y Active Directory para aumentar la seguridad en las redes inalámbricas? Denegación de servicios basada en SSL debido a Message Digest

score 3 · Accepted Answer

Si su objetivo es mitigar los riesgos de comprometer la base de datos del servidor o el almacén de datos, puede ser útil cifrar los datos en el lado del cliente (antes de que llegue al servidor).

Si una copia de la base de datos del servidor cae en manos del enemigo, probablemente el enemigo no podrá descifrarlo todo (lo mejor que puede hacer el enemigo es descifrar la contraseña, lo que puede revelar algunos de los datos, pero no todos).
Si un enemigo compromete el servidor, el enemigo no aprenderá mucho sobre los datos previamente almacenados (el enemigo puede obtener una copia de la base de datos del servidor, pero esto no revelará mucho sobre los datos previamente almacenados) . Sin embargo, el enemigo aún puede espiar todos los datos subsiguientes, colocando una puerta trasera en el Javascript que se envía a los clientes.

Si su objetivo es protegerse contra un servidor malintencionado, o asegurarse de que si alguien compromete el servidor no pueda hacer ningún daño, entonces el "alojamiento a prueba de host" (cifrar los datos en el lado del cliente) no puede estar a la altura de esos metas. No puede evitar que un servidor comprometido envíe un código Javascript de puerta trasera al cliente. Si el Javascript está bloqueado, no puede confiar en él para cifrar sus datos correctamente.

Vea también Cryptography Javascript Considered Harmful y las preguntas que @Andrey Botalov vinculó, para más información.