¿El cifrado del valor del encabezado HTTP proporciona seguridad adicional?

Navega tus respuestas
1

Carga útil antes del cifrado: 

HTTP/1.1 200 OK
Authorization: password
Content-Encoding: UTF-8
Content-Length: 138

{ "command" : "delete all records" }

Carga útil después de cifrar el encabezado de autorización: 

HTTP/1.1 200 OK
Authorization: spxnxkoJX+O1iatF6gco9Q==
Content-Encoding: UTF-8
Content-Length: 138

{ "command" : "delete all records" }

El protocolo NO está sobre SSL.

EDIT

En nuestro proyecto, mi superior agregó esta capa adicional de seguridad (según su opinión), con la que no estoy de acuerdo. Según mi opinión, esto agregará un costo adicional de cifrado y descifrado del valor del encabezado y sin ningún beneficio de seguridad.

Quiero asegurarme, si realmente tiene razón?

    
pregunta Nilesh 13.07.2016 - 07:37
fuente

1 respuesta

4
  

¿El cifrado del valor del encabezado HTTP proporciona seguridad adicional?

No hay una respuesta general para esto, pero depende de lo que está haciendo exactamente y del tipo de "seguridad adicional" a la que apunta.

En su caso, parece que acaba de reemplazar una contraseña de texto sin formato con una contraseña cifrada. A menos que tenga un poco de protección de reproducción incorporada en su algoritmo de cifrado desconocido, el atacante podría simplemente rastrear su contraseña cifrada y reproducirla más tarde. Lo que significa que realmente no proporciona seguridad adicional si su objetivo es hacer que la autenticación sea más segura. Si su objetivo es, en cambio, ocultar solo la contraseña de texto sin formato para hacer que los ataques de reutilización de la contraseña sean más difíciles, el cifrado podría ayudar.

    
respondido por el Steffen Ullrich 13.07.2016 - 07:44
fuente

Lea otras preguntas en las etiquetas

¿Es seguro distribuir listas de revocación de certificados a través de HTTP? [duplicar] ¿Se aplica HPKP en el servidor o en el cliente?