Https del lado del servidor, así como el cifrado del cliente?

Navega tus respuestas
0

Soy nuevo en el cifrado de datos y no entiendo lo siguiente:

  1. Convierto mi dominio en un dominio "https", por medio de algo como "Vamos a cifrar".
  2. Tengo una aplicación de Android que habla con una api en mi dominio.
  3. ¿Todavía necesito realizar el cifrado del lado del cliente con una clave pública en la aplicación de Android - > enviar los datos cifrados a mi api - > ¿Descifrarlo en el servidor usando mi clave privada? ¿Qué significa si mi dominio ya es https? ¿Debo distribuir claves públicas a todos los usuarios que visitan mi dominio? ¿Cómo hago eso?
pregunta brugia 18.08.2017 - 01:33
fuente

1 respuesta

2

No, el objetivo principal de TLS es cifrar el tráfico entre su aplicación y su servidor. TLS se ocupa de la distribución de claves, que de lo contrario sería un problema realmente difícil. TLS fue hecho exactamente para resolver su problema. Agregar otra capa de cifrado que sea esencialmente igual a TLS no agrega ninguna seguridad para su sistema. Solo aumenta la complejidad (superficie de ataque).

Asegúrese de que la implementación de TLS sea segura y que los usuarios no puedan omitirla (usando HTTP heredado o algo así). Considere el uso de características de seguridad modernas como una política de transporte estricta y enfoque en la seguridad web (XSS, CSRF, etc.). La experiencia demuestra que la mayoría de las veces las implementaciones son inseguras, no las criptografías.

    
respondido por el dsprenkels 18.08.2017 - 05:07
fuente

Lea otras preguntas en las etiquetas

Qué plan de acción puede hacer un hacker para ingresar un iPhone [cerrado] ¿Cómo configurar Burp Suite si websense maneja el proxy del sistema y solo se puede acceder a la aplicación a través de IE?