Protección de datos transmitidos entre dos sitios a través de un navegador

Navega tus respuestas
0

Necesito pasar algunos datos de manera segura de un sitio web a otro a través de un navegador.

Un usuario visita el sitio A y hace clic en un enlace que lo lleva al sitio B; esto podría ser solo un enlace que generaría una solicitud GET o un botón de envío de un formulario, que produciría POST, cualquiera de los dos está bien. La comunicación es otro HTTPS.

Algunos datos se envían con la solicitud. Los datos no son largos, hasta 20 símbolos. Necesito asegurarme de que nadie, excepto los sitios A y B, pueda entenderlo, ni siquiera el usuario que opera el navegador.

También estoy pensando que podría querer que el sitio A firme datos, pero no estoy seguro si realmente necesito esto. Técnicamente, para mí no es un problema compartir la clave entre estos 2 sitios.

El valor que necesito proteger es solo un nombre de usuario. Estoy pensando simplemente en cifrarlo con el algoritmo AES utilizando una clave de 256 bits en el sitio A y descifrarlo en el sitio B con la misma clave. No planeo usar ningún tipo de sal.

Las preguntas son: ¿el enfoque que estoy considerando puede considerarse seguro o es muy vulnerable?

    
pregunta Kirill G. 17.06.2016 - 04:24
fuente

1 respuesta

0
  

Necesito pasar algunos datos de forma segura

¿Qué quiere decir exactamente con "de forma segura" , quiere decir que:

  • No desea que el usuario pueda leer el contenido de los datos protegidos (es decir, desea asegurarse de que los datos confidencialidad ),
  • ¿No desea que el usuario pueda manipular o falsificar los datos (es decir, desea garantizar la integridad de los datos)?

Al simplemente cifrar los datos, usted solo garantiza la confidencialidad de los datos. Sin conocer la clave, un usuario malintencionado podría intentar modificar los datos cifrados para intentar, por ejemplo, obtener acceso a los datos de otro usuario.

Si desea garantizar la integridad de los datos, no necesita firmas asimétricas (funcionaría, pero como cree que sería una exageración), lo que necesita es aplicar un HMAC a los datos. Gracias a esto, dado un secreto común, el sitio web B podrá verificar que los datos presuntamente recibidos del sitio web A son realmente auténticos.

A partir de ese momento, el hecho de que desee aplicar una función criptográfica para ocultar el contenido de los datos depende totalmente de usted. Los datos podrían mantenerse perfectamente en forma clara sin reducir la seguridad del HMAC como un sistema de protección de integridad.

    
respondido por el WhiteWinterWolf 17.06.2016 - 12:09
fuente

Lea otras preguntas en las etiquetas

¿La mejor manera de recuperar documentos de Word de una máquina infectada? Falsificación ARP en WLAN: viendo que solo vuelve el tráfico