Forma segura de almacenar la configuración de la aplicación

Navega tus respuestas
3

¿Qué es una forma correcta o, si es posible de decirlo, la mejor manera de almacenar la configuración en cuestiones de seguridad?

Hasta ahora puedo decir que una base de datos con acceso muy restringido es una buena manera, pero por favor, excluyamos la base de datos por el momento. Estoy hablando de cosas como archivos de propiedades encriptados. Como esto ya es una sugerencia, también me gustaría saber acerca de errores comunes o cosas que definitivamente debo tener en cuenta para adquirir una configuración segura. Ya hay discusiones relacionadas con "la mejor manera de almacenar la configuración", sin embargo, no pude encontrar algo que se centre en la seguridad.

La aplicación se ejecuta sin distribución en una máquina host, por lo que la configuración se almacena en el sistema local. La aplicación es, por así decirlo, una aplicación de usuario único. Estamos hablando de algo así como un firewall de software para ser concretos. En realidad estoy pensando en la configuración del ámbito de aplicación. Necesito protección de datos en un sentido de privacidad (no quiero exponer la funcionalidad y la configuración) y la integridad. No tengo miedo de un interno (administrador) sino más de intrusos.

Ya hice esta pregunta sobre stackoverflow pero creo que es más apropiado pedirlo aqui. Eliminaré la publicación de stackoverflow de manera oportuna.

    
pregunta user2504380 22.09.2014 - 10:40
fuente

2 respuestas

1

Ok, entonces, ¿si un hacker ingresa a tu sistema, quieres evitar que vea las configuraciones? Por la lógica, IMO esto no es posible. La aplicación necesita leer la configuración y debe almacenar los valores de configuración en la memoria. El pirata informático con privilegios de raíz siempre puede volcar la memoria y reconstruir la configuración (si la aplicación se está ejecutando).

Sin embargo, puedes hacerlo más difícil para él. Por ejemplo, puede mantener la configuración encriptada. La aplicación solicitará la contraseña en el inicio y usará la contraseña para descifrar la configuración. Sin embargo, me imagino que esto podría ser bastante molesto para los administradores de sistemas ;-)

    
respondido por el smrt28 22.09.2014 - 15:06
fuente
1

Puede protegerse contra espionaje y ataques causales. Pero armado con una copia de IDA Pro se puede hacer casi cualquier cosa.

Esto es similar a los problemas con los que deben lidiar las soluciones de protección contra copias y licencias. Y una mirada rápida en un sitio de torrent le dirá lo difícil que es. Un atacante experto y motivado con acceso a su archivo de configuración y código casi siempre puede obtener acceso.

No dices mucho sobre el tipo de datos. Pero si desea una confianza real en la protección de los datos, buscaría trasladarlos a otro sistema y no tener acceso a la máquina local ni leer los datos en cualquier momento.

Explique un poco más sobre los datos y el entorno y refinaré un poco la respuesta, porque hay soluciones que se aplican a situaciones particulares.

Por ejemplo, un caso típico donde esto es un problema es cuando una aplicación de escritorio necesita una contraseña súper secreta para un servidor de back-end. En este caso, la solución correcta es volver a diseñar el backend con cuentas individuales (y otros controles).

Otro ejemplo es donde hay una contraseña de inicio de sesión de usuario local. En este caso, la solución correcta es probablemente un hash de una sola vía.

En otros casos, el Trusted Platform Module, o una solución de hardware es apropiada ( enlace )

    
respondido por el JCx 07.01.2015 - 21:38
fuente

Lea otras preguntas en las etiquetas

¿Es un secreto precompartido suficiente para el cifrado? ¿Google crea un seguimiento de los archivos creados en el modo de desarrollador de Chrome OS?