【发布时间】:2017-02-19 10:02:17
【问题描述】:
关于安全性和项目的一些背景故事。为客户开发私有应用程序。此应用程序需要安全。我们保护它的一种方法是不允许外部连接。这意味着只能建立内部连接。或通过 VPN 连接,我们将把安全性交给 VPN 提供商。但是,我们必须解决并牢记本地用户的安全问题。我们对此有很多想法,只是简单地将 2 级网络设备的安全性和组织内的 ldap 安全性典当了。然而,我们现在面临授权用户组(一些非常聪明的人)内部的斗争,我们如何在这里保持安全。
所以问题是。如果我们有一个 SSL 分层应用程序。只允许用户通过 SSL 连接访问网络服务器。它会保护所有流量吗?
场景:
用户 A 登录到运行在 IP 地址 10.x.x.180(在 ssl 下)的网站。
用户 B 坐在打开的 wireshark 中,正在此网络中嗅探到 10.x.x.180 ip 的任何流量。
用户 A 调用网站以查看网页。此网页需要此服务器上的本地 json 文件。将 json 返回给应用程序。然后这个 json 被读取并显示给用户 A。
问。用户 B 能在他的嗅探包中看到这些数据吗?还是他只会看到 SSL 加密的数据?
【问题讨论】:
-
请记住,TLS 将保护您的隧道(即浏览器或应用程序与服务器之间的流量将被加密)。它对应用程序的安全性没有帮助:可以登录的人(无论是经典网站还是 API)都可以尝试破解它。由于您将在受限网络中运行,正如您所说的那样,聪明人,这也是您应该解决的问题(TLS 是一个简单的配置,保护您的应用程序不是)。
-
@WoJ - 感谢您的关注。然而,担心更多的是另一个“黑客”不一定是用户。但我不想写这个。以防“黑客”能够通过劫持他们的计算机或您拥有的东西从综合体内的另一个用户那里获取会话。它将黑客限制为仅限该人的数据,而不是其他用户。
标签: json security ssl encryption