Mejores prácticas para el cifrado de un cliente específico de la web

1

Si queremos permitir datos confidenciales entre un servidor web y un cliente específico, ¿hay algo más que se pueda hacer además de lo siguiente?

Tenga en cuenta que esto es potencialmente un duplicado de ¿Autentica al cliente sin la clave de codificación? pero el enfoque aquí es más en una buena solución dentro de esta limitación (que no hay una solución absolutamente definitiva para autenticar al cliente)

1) Todos los flujos de tráfico a través de SSL

2) El cliente tiene una clave AES-256 codificada pero ofuscada

3) El servidor tiene la misma clave AES-256

4) El cliente solicita una nueva "clave de sesión"

5) El servidor genera una clave de sesión aleatoria y la cifra con una clave AES compartida

6) El cliente se descifra, y todo el intercambio adicional ocurre sobre esta "clave de sesión" (que también es aes-256)

    
pregunta davidkomer 29.03.2015 - 07:25
fuente

1 respuesta

2

En lugar de usar una clave codificada, debe usar la autenticación SSL mutua. El uso de una clave ofuscada no agrega ninguna seguridad, ciertamente no cuando ya está utilizando SSL.

    
respondido por el Lucas Kauffman 29.03.2015 - 08:34
fuente

Lea otras preguntas en las etiquetas