Назад | Перейти на главную страницу

Передача учетных данных через небезопасное, непубличное достояние

Насколько небезопасен этот сценарий, обратите внимание, что я не могу использовать SSL из-за ограничений в приложении веб-сайта (да, поймите!):

Насколько легко кому-то перехватить учетные данные пользователей, выполняющих вход? Учитывая, что URL-адрес не будет известен?

Как я уже сказал, мы будем использовать SSL, но приложение плохо работает с SSL-соединением.

В дополнение к тому, что уже было сказано о перехвате незашифрованного трафика, возможно, вашей самой большой проблемой является безопасность через неясность.

Вы доверяете своим пользователям не разговаривать.

Вы даете "секретное" доменное имя людям, которые будут использовать его публично? Вы, пользователи, действительно будете беспокоиться о безопасности? Я знаю людей, которые даже не охраняют свой ПИН-код банкомата. А как насчет пользователей, которые уволены или уволились? Или поговорить с вами по телефону, чтобы получить поддержку по какой-то проблеме, и просто публиковать свой секретный URL?

И если у вас есть этот домен в Интернете, он будет в базе данных, и его будут искать поисковые системы. Что-то обязательно должно появиться.

Короче говоря, если у вас есть пользователи, и вы рассчитываете, что они не будут говорить об этом, у вас возникнут проблемы.

Конечно, это не считая плечевого серфинга, перехвата человека в середине и т. Д.

Краткий ответ: это очень небезопасно.

Насколько легко кому-то перехватить учетные данные пользователей, выполняющих вход? Учитывая, что URL-адрес не будет известен?

Было бы тривиально перехватить учетные данные для входа, если вы не шифруете трафик. Злоумышленнику не нужно знать URL-адрес - это не проблема. Клиент Star Bucks, используя открытый Wi-Fi, передавал бы все в незашифрованном виде, включая имя пользователя, пароль, ваш «неизвестный» URL-адрес и т. Д., Чтобы любой мог увидеть его с помощью анализатора. То же самое применимо к пользователям в некоммутируемой проводной сети. В проводной коммутируемой сети злоумышленник может использовать зеркальный порт или что-то подобное.

Исправьте ваше приложение для работы с SSL.