¿Qué proporciona mejores garantías contra el descifrado / piratería: HTTPS o una aplicación móvil bien hecha?

Navega tus respuestas
1

A la luz de la reciente vulnerabilidad de WPA2 KRACK (que muchos proveedores de dispositivos y sistemas operativos aún no han solucionado o parcheado), considera que todas las conexiones de Wi-Fi no están encriptadas para los propósitos de la pregunta.

En 1 lado de la pregunta: una aplicación web de navegador que utiliza HTTPS mejorado (identificable por el propietario) (aparece como un icono de candado verde en Firefox)

En el otro lado de la pregunta: una aplicación de dispositivo móvil diseñada específicamente para el mismo servicio que utiliza su propio esquema de autenticación y cifrado

Suponga que los desarrolladores y administradores tanto para la aplicación del navegador como para la aplicación móvil son competentes y vigilantes: las fallas y los ataques en ambos se detectan y solucionan rápidamente. Los desarrolladores de la aplicación del navegador no tienen control sobre el navegador que se está utilizando (excepto para marcar navegadores específicos como no compatibles o bloquearlos por completo).

¿Cuál proporciona mejores salvaguardas contra el descifrado no autorizado y el espionaje? Intuitivamente, la aplicación móvil debe tener salvaguardas más fuertes que una aplicación de navegador, ya que se han producido ataques contra HTTPS en los que se utiliza un esquema de cifrado débil (en los casos más graves, eliminando el cifrado completamente para ciertos elementos de la página). Una aplicación móvil no debería tener este problema ya que el desarrollador puede especificar un esquema de cifrado sólido tanto en el cliente como en el servidor.

    
pregunta user1258361 03.11.2017 - 19:03
fuente

2 respuestas

1

Creo que lo que estás preguntando es si el navegador o la aplicación móvil son más seguros porque HTTPS se usa en ambos. La mayoría de las aplicaciones móviles son similares a las páginas web y utilizan JSON y APIs Restful. En ese caso, la aplicación es potencialmente más segura porque tiene más control en el lado del cliente, y puede usar SSL Pining y los usuarios no pueden ser engañados con errores de tipografía o algo así.

    
respondido por el Daniel Grover 03.11.2017 - 22:17
fuente
0

Dado el escenario en el que los desarrolladores y los administradores son esencialmente perfectos, no hay nada para elegir entre ellos. Lo más probable es que ambos utilicen métodos iguales o igualmente potentes para cifrar los datos en tránsito, por lo que serán igualmente seguros.

Si está considerando el candado verde como "mejorado", entonces esa es una diferencia minúscula. Simplemente significa que el propietario del dominio ha pagado más dinero para someterse a un control más minucioso de que son quienes dicen ser. No tiene ningún efecto en la calidad de la criptografía.

Los administradores perfectos sabrán configurar los servidores para que no usen cifrados débiles y para usar HSTS. Los desarrolladores perfectos sabrán que desarrollar su propio criptografía es increíblemente difícil y que la implementación correcta de HTTPS en la aplicación es mucho más fácil y segura.

Si tuviera que errar por un lado, me gustaría que el navegador fuera un poco mejor. Los proveedores de navegadores son cada vez más estrictos respecto al respeto de los problemas de certificados. En Chrome ahora ya no puedes hacer clic en este tipo de advertencia. Mientras que sin algún conocimiento serio, la aplicación podría estar completamente sin cifrar y no se podría decir. Esto ha sucedido con algunas aplicaciones bancarias ... pensarías que sabrían mejor.

enlace

    
respondido por el ste-fu 04.11.2017 - 00:44
fuente

Lea otras preguntas en las etiquetas

¿Desea omitir la protección de "cookie de envío doble"? ¿Debo solicitar autenticación para los recursos con una clave de hash? [duplicar]