Нужно ли шифровать данные браузера через HTTPS?

Question

Мой коллега предложил мне зашифровать логин / пароль перед отправкой их в бэкэнд.

Мы используем https, поэтому я не вижу причин, почему я должен это делать и при каких обстоятельствах.

Сам Https по определению занимается шифрованием данных и защитой нас от атаки «человек посередине».

На мой взгляд, это не причина, когда кто-то говорит, что мы должны защитить нашего клиента от вирусов и снифферы, которые он имеет на своем компьютере, и которые могут расшифровать трафик SSL c, используя своего рода алгоритмы RSA. Это зависит от владельца компьютера. Антивирусы могут справиться с этим довольно хорошо.

Одна из причин, по которой их можно применить, - это когда мы храним такие данные на стороне браузера / клиента (например, в локальном хранилище), и я думаю, что это архитектурные риски. Все данные должны быть сохранены на стороне сервера, и браузер должен быть без сохранения состояния.

Вопрос: в каких случаях, если таковые имеются, нам нужно зашифровать наши данные перед их передачей по https?

Заранее спасибо!

Answer 1

Вы должны применить защиту к активам (в данном случае к данным), если вы хотите защитить их от чего-то . Имеет смысл зашифровать, если вы имеете в виду угрозу, вариант использования, где эти данные будут скомпрометированы, что предотвращается предлагаемым шифрованием.

По умолчанию это стандартная и общепринятая вещь для отправки имен пользователей и паролей без дальнейшего шифрования по https. Если вы можете найти способы, почему этого недостаточно для вашего конкретного случая c, вы можете применить дальнейшее шифрование. Например, вы можете захотеть защитить его от злоумышленников типа «злоумышленник в середине», например, корпоративный прокси-сервер с установленным на клиентах сертификатом root (очень часто используется в корпоративных настройках).

Обратите внимание, что шифрование это совсем не просто, управление ключами относительно сложно. Как у клиента будет ключ, как он будет хранить его, как вы отзовете его в случае взлома и т. Д.

Обычно это не стоит go по этому маршруту. В некоторых очень специфических c случаях это может быть.