Proteger una aplicación que usa internet de la detección de paquetes

2

Desarrollé una aplicación independiente de tal manera que, la aplicación usa un servicio remoto (utilizando SOAP / REST) que está disponible en WWW. Estoy usando HTTPS a pesar de las llamadas de la aplicación. Estaba funcionando perfectamente bien. Recientemente, descubrí que algunos usuarios utilizan un proxy web como Fiddler para detectar el tráfico de aplicaciones y monitorear los WSDL de solicitudes, las solicitudes y las respuestas. Introduje JWT (token web JSON) para evitar el ataque del hombre en el medio, pero nuevamente, los mensajes JWT pueden capturarse y decodificarse para ver las solicitudes y respuestas originales.

Encontré otra forma de proteger la solicitud y la respuesta de la aplicación es cifrar paquetes individuales antes de enviarlos utilizando cualquier algoritmo de clave simétrica como AES o zip con cifrado AES. Pero esto afectará gravemente el rendimiento de la aplicación.

¿Hay alguna otra forma de abordar este problema sin afectar mucho el rendimiento de la aplicación?

    
pregunta javad_shareef 14.06.2013 - 07:16
fuente

1 respuesta

4

Si todo se hace a través de HTTPS, todo lo que debe hacer su aplicación es asegurarse de que el certificado sea correcto y válido.

El hombre en el ataque central solo puede descifrar el tráfico HTTPS arruinando el certificado original y emitiendo uno [generalmente] autofirmado a la comunicación entre pares local.

    
respondido por el Havenard 14.06.2013 - 08:34
fuente

Lea otras preguntas en las etiquetas