¿Es suficiente usar solo SSL / TLS para la aplicación cliente-servidor con autenticación, registro y transmisión de datos (como chat)? Si no es lo que también necesito usar?
TLS puede proteger contra un espía que solo tiene acceso al canal de comunicación entre ambas partes. Pero debe implementarse correctamente, es decir, cifrados sólidos, validación adecuada del par, etc.
No protegerá contra los ataques contra los puntos finales. Es decir, no le ayudará si hay errores en las pilas TLS usadas (como en la mayoría de las pilas principales en 2014), desbordamientos de búfer o errores en la lógica de la aplicación (como secuencias de comandos entre sitios). Si el atacante logra comprometer el punto final de alguna manera, podrá inyectarse en la aplicación para obtener acceso a los datos sin cifrar oa las claves de cifrado.
Por lo tanto, los ataques se centran en comprometer la implementación o el punto final al subvertir los métodos y bibliotecas utilizados para el cifrado ( como generadores aleatorios ), comprometiendo la cadena de entrega para obtener acceso a las claves ( como con las tarjetas sim ) o a infectar la computadora durante la entrega ya. Pero no necesita tales ataques avanzados porque la entrega de malware mediante phishing o malvertising o los ataques de la criada malvada suelen ser suficientes para comprometer un punto final seleccionado.
Lea otras preguntas en las etiquetas web-application authentication cryptography encryption tls