¿Cómo asegurar o (asegurar la integridad) de los datos web en tránsito y en la tienda?

Navega tus respuestas
3

Considerar (escenario habitual) Usted es propietario de un sitio web de carrito de compras y está alojado en Internet; ahora, su empresa de alojamiento le proporciona una base de datos para almacenar sus datos. Si hablamos de seguridad, lo necesitamos para:

  • Protección de archivos y carpetas en el servidor (permisos de acceso).
  • Base de datos: asegurando la base de datos con contraseña.
  • Programación: Asegurar el carrito de compras (Asegurar la aplicación web).
  • Datos en tránsito: asegurando los datos en tránsito como (registro de usuarios, pagos, facturas, etc.) cuando el cliente envía al servidor y cuando el servidor envía respuestas al cliente (formularios, historial de pedidos, perfil de usuario, etc.)

La gran pregunta: ¿cómo garantizar la integridad?

  • ¿Determinar el acceso no autorizado que modificó o intentó modificar los datos?
  • ¿Determinar el acceso autorizado que intentó o realizó acciones no autorizadas?
  • Determinar la integridad de todo el sistema

DB Por ejemplo, los datos que se guardaron en la base de datos como MySQL y MSSQL no están encriptados, se considera seguro en el servidor de DB, también para filas de abrazo, el encriptado disminuye el rendimiento y si el atacante obtiene acceso al servidor de DB, también puede obtener la clave privada.

Archivos y carpetas Consideremos que ciframos todos los archivos que realizan acciones críticas (como Control de acceso, Ahorro de datos, etc.), ahora, de cualquier manera, si el atacante tiene acceso al servidor, puede agregar una línea para enviar todos ($ _POST, $ _SESSION, $ _COOKIE y $ _GET) a un correo electrónico.

Datos en tránsito Considere que SSL está implementado, pero el ataque del hombre en el medio puede obtener una copia del tráfico (esto es posible). ¿Cuántas redes hay entre stackexchange.com y yo ahora? miles! Yo - > Mi ISP (Clientes - > Núcleo - > Routers de borde - > ISP extranjero - > ISP extranjero - > Centro de datos de Stackexchange - > Algunos clúster o cualquier otro modelo - > Stackexchange) ¿Cómo podemos garantizar que los datos entre estas redes no se modifiquen?

¡Sólo ve esta imagen! que actualmente disponible no es solo una idea:

En este punto: estoy preguntando: ¿existe algún mecanismo para mejorar la seguridad de las aplicaciones web que depende siempre de los datos en Transit? Espero obtener algunas respuestas que me transmitan esta tristeza acerca de la seguridad :(

    
pregunta Akam 31.01.2013 - 22:22
fuente

1 respuesta

2

Mantenga todo cifrado con SSL con un certificado SSL debidamente firmado de una CA de confianza. Los servidores web / las autoridades de certificación no deben revelar sus claves privadas de SSL, de manera similar, los navegadores web solo deben confiar en un conjunto mínimo de autoridades de certificación respetadas.

Esto evita que los espías descifren / alteren las comunicaciones de 1 .

1 Bueno, podrían eliminar paquetes o alterar aleatoriamente un paquete, lo que con una probabilidad muy alta daría como resultado que el paquete no sea descifrable (equivalente a dejar caer un paquete).

Tineye dice que su imagen es de: enlace , que tiene su documentación en línea en: enlace (tenga cuidado con el archivo doc). Esta documentación establece específicamente su limitación:

  

Nota: la advertencia de error de certificado aparecerá en el navegador web del usuario de destino. Este problema se puede resolver al tener su propia autoridad de certificación (CA) de confianza. Para obtener más información, comuníquese con Decision Group.

Por lo tanto, para usar este producto, debe tener una CA confiable de su navegador para firmar un certificado para su ataque MITM, que CA no debe hacer; sin embargo, los gobiernos invasivos pueden hacerlo (especialmente si su navegador confía en todas las CA predeterminadas).

    
respondido por el dr jimbob 31.01.2013 - 23:52
fuente

Lea otras preguntas en las etiquetas

¿Son compatibles Kismet (en OpenWRT) y Snort IDS (en un servidor Linux)? ¿Debo instalar un antivirus en mi teléfono móvil?