está encriptado http http seguro

Navega tus respuestas
-2

Estoy trabajando en un proyecto integrado que necesita comunicarse con un servidor. Tanto el servidor como el dispositivo tienen una clave AES preinstalada.

Tengo un dispositivo de red que proporciona servicios http pero no https. Mi propuesta es que AES cifre los datos en el cuerpo del comando post.

Dado que tengo la IP del servidor, la clave AES es exclusiva de este dispositivo y gire los IV con cada sesión (las sesiones aquí son muy cortas), lo que podría ser el inconveniente en lugar de agregar https en el incrustado ¿dispositivo?

Soy nuevo en http y servicios tranquilos. ¿Hay un encabezado http estándar o uso de S / MIME para esto?

TIA

    
pregunta pilotjack59 23.02.2015 - 07:06
fuente

1 respuesta

0

Como se menciona en los comentarios, debes rotar los IV cada vez que envíes un mensaje nuevo. Simplemente no hay una buena razón para reutilizar las IV, e incluso una leve reutilización de IV abrirá fallas de seguridad sutiles.

Si encripta solo el cuerpo HTTP, eso deja su método HTTP, ruta HTTP y encabezados HTTP expuestos en texto plano. HTTPS cifraría estos componentes de sus mensajes.

Puede decir que no le importa que un intruso escuche estos componentes, pero tenga en cuenta los siguientes problemas:

  • Las cookies HTTP se comunican mediante encabezados HTTP. Si planea usar cookies de sesión, deberá enviarlas en un encabezado de texto simple o reinventar completamente las cookies HTTP para usarlas dentro del cuerpo de su mensaje cifrado.

  • HTTPS garantiza no solo la confidencialidad, sino también la integridad. En su esquema, un atacante activo puede alterar los componentes de texto plano expuestos, lo que puede afectar a su sistema de manera imprevista.

  • Su esquema no describe actualmente ninguna forma de prevenir los ataques de reproducción. Un atacante que escucha un mensaje cifrado (incluso cuando está cifrado con un IV) puede reenviar ese mensaje cifrado correctamente para repetir una operación pasada. Debe incluir algún tipo de mecanismo de contador para invalidar mensajes pasados. HTTPS ya está seguro contra ataques de repetición.

  • Quizás su protocolo actualmente no expone ninguna información a través del método HTTP, la ruta o los encabezados (es decir, siempre son los mismos; la funcionalidad encriptada de su servidor sirve solo para una URL, para un verbo HTTP, sin cookies) . Sin embargo, un día, su protocolo puede expandirse para usar encabezados y rutas HTTP variables, y en ese momento puede exponer información confidencial a menos que actualice sus sistemas a HTTPS.

respondido por el apsillers 23.02.2015 - 15:39
fuente

Lea otras preguntas en las etiquetas

¿Qué soluciones anti-DDoS para Windows existen? ¿Qué revela la ejecución de nmap en un servidor sobre su computadora?