Question

Есть ли дополнительная ценность в зашифрованных данных, которые мы отправляем в HTTP-запросе и ответе между клиентом и сервером, если у нас уже есть SSL / TLS?

Я получаю, что SSL / TLS уже зашифровывает трафик c на транспортном уровне для соединений SSL / TLS, но если бы мы хотели запретить пользователям браузера читать данные запросов и ответов, мы бы зашифровали их перед отправкой, добавив любые ценность в предотвращении того, чтобы пользователи могли его прочитать?

Например, я мог бы go в Сеть -> Запросы XHR -> и посмотреть, какие данные передаются между клиентом и сервером.

Steffen Ullrich · Answer 1 · 20 июня 2020

... но если бы мы хотели запретить пользователям браузера читать данные запросов и ответов, ...

Похоже, вы пытаетесь предотвратить простой обратный инжиниринг, возможный с помощью используя консоль разработчика и просматривая запросы и ответы. Хотя шифрование / дешифрование данных в Javascript усложнит этот простой обратный инжиниринг, оно не предотвратит обратный инжиниринг в целом: в конечном итоге браузер должен иметь доступ к простой информации, чтобы какой-то реверс-инженер мог подключиться к соответствующим частям вашего Шифрование на основе Javascript для получения доступа к данным перед шифрованием и после дешифрования.

В общем: если безопасность ваших приложений требует защиты от пользователя самого приложения, то схема безопасности, вероятно, неверна.

Зашифрованные тела и параметры запроса и ответа, даже если у нас уже есть SSL / TLS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Зашифрованные тела и параметры запроса и ответа, даже если у нас уже есть SSL / TLS?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов