¿Es inseguro rodar su propio protocolo de red? [cerrado]

-2

Por ahora, todos los que están aquí deben saber que hacer rodar su propio crypto es malo .

¿Pero de qué se trata su propio protocolo de red (compatible con cifrado)?

Estoy trabajando en un proyecto de código abierto (ahora es una idea para ser honesto) donde necesito intercambiar una gran cantidad de datos binarios entre clientes, pero transferir información de texto con los datos o incluso solo es un aspecto importante de comunicación entre nodos y tener dos protocolos separados para hacerlo es un tdwtf absoluto.

Mi idea básica sería escribir mi propia especificación de protocolo con encabezado, sección de texto y bin y cifrar todo esto con RSA (la pregunta es no acerca de revisar esta idea).

¿Hay algo malo en escribir mi propio protocolo de seguridad * en lugar de confiar en algo existente, pero tal vez no sea adecuado?

* Veo que esto puede dificultar la tarea de los clientes de terceros y que esto no es un límite de seguridad.

EDITAR: Para aclarar, estoy hablando de un protocolo sobre TCP (como HTTP). La pregunta es sobre las implicaciones de seguridad cuando hago rodar mi propio protocolo con un cifrado bien conocido integrado.

    
pregunta Sebb 02.10.2015 - 00:18
fuente

1 respuesta

2

Habiendo probado una serie de protocolos de red personalizados (todos implementados sobre TCP o UDP, a veces también con (D) TLS), recomiendo esta idea. Usted lo hará mal, y luego tendrá un vector de explotación remota.

Es mucho, mucho más seguro usar un formato de datos existente (JSON a través de HTTP es popular en estos días, aunque sí, es una gran carga) con software de servidor y cliente establecido, bibliotecas de análisis establecidas para su representación de datos y una Formato bastante simple (no te hagas el capricho a menos que el rendimiento realmente, sinceramente, lo requiera). Use TLS (o DTLS si usa UDP) para asegurar el tráfico. Añade tu propia autenticación si es necesario.

    
respondido por el CBHacking 02.10.2015 - 06:05
fuente

Lea otras preguntas en las etiquetas