¿Qué puede hacer un desarrollador de aplicaciones web para proteger la información del usuario de adversarios poderosos como la NSA o China?

7

Algunos servicios de inteligencia bien financiados con empleados potencialmente no confiables interceptan y almacenan datos encriptados durante años, con la esperanza de romperlos con la tecnología futura. ¿Qué puedo hacer para que esto sea más difícil para ellos y cómo puedo limitar el alcance de un ataque exitoso? Ya uso SSL y almaceno las contraseñas como hash salado, con sal única. Cifrado los datos privados usando las claves más grandes que permiten las herramientas disponibles, pero no tengo idea de cuánta diferencia hay entre computadora cuántica .

Algunas ideas que han cruzado mi mente:

  • Envíe algunos medios cifrados de ruido / lorem ipsum / aleatorios antes y después de las solicitudes reales de HTTPS.
  • Implementar un esquema PGP loco sobre HTTPS. El intercambio de claves públicas ocurre durante la primera solicitud real de HTTPS, después de algunos intercambios falsos. Las claves falsas se guardan y se utilizan para la comunicación falsa.

Como probablemente puedas decir, no soy un investigador de seguridad, solo desarrollo aplicaciones web para un pequeño inicio. Acabo de descubrir OWASP gracias a la barra lateral de "preguntas relacionadas", estaré leyendo sobre eso.

    
pregunta Dan Ross 11.09.2013 - 08:34
fuente

3 respuestas

7
  

Como probablemente puedas decir, no soy un investigador de seguridad, solo desarrollo aplicaciones web para un pequeño inicio.

Esa es tu respuesta allí mismo. No seas un Dave e inventa tu propio esquema de criptografía. Simplemente apégate a los protocolos conocidos que han sido estudiados extensivamente. Parece que ya lo estás haciendo.

Digamos que la NSA realmente tiene puertas traseras en cada protocolo de criptografía único (es solo una suposición, lo más probable es que no sea cierto, así que relájate ...). ¿Qué te hace pensar que la NSA que contrata a mucha gente muy inteligente no puede romper tu plan casero?

Simplemente continúa haciendo lo que has estado haciendo y estarás tan seguro como siempre lo estarás.

    
respondido por el Ayrx 11.09.2013 - 08:39
fuente
3

implementar HTPS de forma segura :

  • SSL + PFS (perfecto secreto hacia adelante) parece ser el camino a seguir en la atmósfera; se trata de hashing hasting fue para la protección de contraseña

  • use una configuración que no se ajuste a los recientes escenarios de ataque encontrados (BREACH, CRIME, BEAST); la sugerencia sobre cipher-suites depende de su base de usuarios y de la implementación utilizada

  • ejecute su sitio completamente en HTTPS, use HSTS - encabezados y https - redirige en http

  • TEN CUIDADO de cualquier consejo que encuentres con respecto a las suites de cifrado, etc. pruebe CUALQUIER configuración SSL, no está seguro con ssllabs.com

  • hay más en ello, pero las sugerencias dependen de la implementación.

respondido por el that guy from over there 11.09.2013 - 09:48
fuente
1

Como se indicó anteriormente, implemente SSL / TLS de manera correcta. Proporcionar autenticación y confidencialidad es importante.

Dicho esto, eres un desarrollador web. Entonces escribes código, algunos consejos útiles

  • Echa un vistazo al Top 10 de OWASP: enlace
  • En la fase de prueba de su ciclo de desarrollo web, debe incluir pruebas de integración de seguridad usando el proxy de Zap
  • Si usa un marco existente, suscríbase a la lista de correo (de seguridad) y manténgase actualizado.
  • Siga las mejores prácticas con respecto al uso de sales de contraseña, esquemas de seguridad existentes, etc.
  • Desarrolle desde cero con la seguridad en mente (consulte ZapProxy).
respondido por el Lee. M 11.09.2013 - 10:14
fuente

Lea otras preguntas en las etiquetas