¿Se debe encriptar el tráfico incluso cuando se usa HTTPS? [duplicar]

2

Eché un vistazo a google y aquí y no pude encontrar la respuesta a esta pregunta:

Digamos que tengo un servicio web y una aplicación para Android. Se comunican a través de HTTPS. ¿Debo cifrar el tráfico o puedo suponer que las comunicaciones son relativamente seguras?

No estoy considerando la fijación de certificados aquí. En este caso, ¿el uso de la fijación de certificados cambiaría las medidas de seguridad que debería implementar?

Editar 1 :

Este escenario me viene a la mente al considerar que un atacante que controla el dispositivo que ejecuta la aplicación (que es bastante fácil) puede interceptar la comunicación y ver cada bit de información clara que se transmite.

Escenario : tengo una aplicación que puede realizar pagos con tarjeta de crédito. ¿Debo confiar en TLS para asegurar la información de la tarjeta de crédito que se envía?

    
pregunta luizfzs 21.07.2017 - 20:39
fuente

2 respuestas

1

Si la comunicación ocurre a través de HTTPS, entonces ya está cifrada. HTTPS incluye el cifrado de extremo a extremo SSL / TLS entre el cliente y el servidor web.

En resumen, no, no es necesario que lo cifres más, siempre que hayas implementado HTTPS correctamente.

Para obtener más detalles, consulte esta publicación: ¿Cómo funciona SSL / TLS?

ACTUALIZACIÓN en respuesta a la actualización de la pregunta:

Si un atacante está "controlando" el dispositivo del usuario que ejecuta la aplicación, la seguridad se ve comprometida, sin importar cómo se mire. Sus procedimientos de cifrado / seguridad se activan antes de que la información confidencial se comunique a través de la red. Sin embargo, mientras el usuario ingresa, digamos, el número de su tarjeta de crédito en su teléfono celular, aún está en texto sin formato y es vulnerable al atacante que tiene el control.

Entonces, sí, puede confiar en TLS para asegurar la información de la tarjeta de crédito que se envía. Pero no hay mucho que puedas hacer como desarrollador de aplicaciones contra un atacante que controle el dispositivo.

    
respondido por el whoami 21.07.2017 - 20:45
fuente
1

En términos generales, depende de cuál sea su modelo de amenaza y de cómo intente cifrar los datos.

Para el escenario específico que describe, un formulario de pago basado en la web en el que un usuario ingresa los datos de la tarjeta de crédito, una capa adicional de cifrado tiene poco sentido. Aún necesita poder descifrar los datos una vez que los recibe, y aparte del propio TLS, no tiene un mecanismo simple y seguro mediante el cual obtener una clave para que el usuario realice una capa adicional de cifrado.

Para otros escenarios, como un administrador de contraseñas, una capa adicional de cifrado puede realmente tener sentido ... Cuando el cifrado puede estar contenido en una extensión del navegador, por ejemplo, y la clave puede derivarse en la memoria desde una contraseña, y su servicio solo necesita almacenar el blob cifrado y no necesita acceso a los datos de texto sin formato.

Por lo tanto, el caso de uso es importante, el modelo de amenaza para la aplicación y los datos son importantes, y los mecanismos a los que tiene acceso y pueden infligir razonablemente a sus usuarios son importantes antes de que pueda decidir si esto tiene sentido o no. Parece que para su caso, no es así, y TLS solo, bien configurado, debería ser suficiente.

    
respondido por el Xander 21.07.2017 - 21:12
fuente

Lea otras preguntas en las etiquetas