Je traite avec un client "préoccupé par la sécurité" et qui exigeent tous les fichiers contenant des adresses portuaires et des adresses IP (informations de configuration essentiellement) doivent être cryptés.
Mon point de vue est que les adresses IP et les ports sont essentiellement publiques. Le fichier peut donner la nature du serveur, mais ce type de "secret partiel" pour moi n'ajoute rien à la sécurité autre qu'un faux sentiment de sécurité.
Si ce type d'informations sera stocké crypté?
EDIT: Un petit problème est que c'est un périphérique mobile afin d'ajouter du cryptage, c'est en fait une surcharge assez importante car il s'agit d'une tâche assez ardue pour le processeur et provoquera un coup de performance.
9 Réponses :
Mon point de vue est que si le client le demande, vous pouvez aussi bien le faire.
Je ne vois vraiment pas de point sur cependant, car l'accès aux fichiers de configuration signifie que le système est déjà fortement compromis.
Il n'y a jamais de mal à garder autant d'informations privées que possible. Moins vous donnez un pirate informatique plus difficile leur travail sera.
Cependant, la plus grande chose à noter est comme vous le dites, un "faux sens de la sécurité". Tant que les mots «Noone vous pirateront pas, ils ne connaissent pas notre adresse IP» ne sont jamais prononcés alors c'est bien. Dès que vous pensez que ce niveau d'obscurité est suffisant pour vous garder en sécurité, vous avez un problème.
Eh bien, une adresse IP pourrait être considérée comme une information personnellement identifiable en fonction de laquelle vous demandez. Si votre client le souhaite, vous pourriez aussi bien le faire. Selon la raison pour laquelle vous ne voulez pas crypter, vous pourriez envisager d'obfuscation comme une autre alternative simple. Tant que ceux-ci sont suffisamment randomisés, je supposerais que votre client devrait être heureux.
Votre question est subjective. Mais oui, vous devriez crypter vos données de configuration, c'est logique. Quant à cela étant confidentiel, cela dépend vraiment de la raison pour laquelle? Votre meilleur pour faire ce que le client demande.
Je suis d'accord avec Robin, l'obscurité n'est pas une sécurité, si une personne devait savoir votre IP, ce qui est possible et ils vous changent, il peut devenir apparent quel vecteur d'attaque qu'ils peuvent utiliser.
Il n'y a aucun préjudice pour écréter le fichier. Si le client est heureux, faites-le. J'espère que cela ne sera pas un problème pour le développement.
Mais ce que je ferais, c'est aussi éduquer le client que "crypter la propriété intellectuelle" ne signifie pas que tout le tout est sûr. Vous pouvez expliquer à propos de l'accès restrictif via un pare-feu (si possible) est plus sécurisé que le cryptage.
Plus sur je ne pense pas que ce soit une pratique courante de chiffrer. Donc, votre document Beter est correctement sur la façon dont vous le faites et pourquoi vous le faites ;-) Pour que les futurs programmeurs sachent pourquoi cela a été fait.
Je recommanderais de faire pas Toutes les capsules, plutôt que fait , puisque n'est pas semble que ce n'est pas une réflexion et "fait" un peu important
Je pense que la plupart des OS-ES ont un support standard pour demander toutes les connexions réseau ouvertes. (netstat, sous Windows XP, Linux.) Donc, si l'application utilise réellement les adresses IP pour se connecter avec les systèmes, le cryptage n'est clairement pas suffisant. Toutefois, si l'application ne peut être démarrée qu'avec un mot de passe, je pouvais imaginer une utilisation pour le cryptage, ce qui rend un peu plus difficile de voir les informations lorsque l'application ne fonctionne pas.
La façon dont je regarde, une adresse IP n'est pas en soi privilégiée, mais ses informations utiles pour un intrus ont. Pourquoi le rendre facile pour lui de l'obtenir? Le cryptage des données peut simplement l'ennuyer et le ralentissez-le pendant qu'il obtient cette information à travers d'autres moyens, mais plus l'intrusion prend plus coûteuse, elle est plus coûteuse pour lui et plus le risque qu'il soit capturé et arrêté.
Verrouiller ma porte d'entrée en bois n'arrêtera pas un cambrioleur déterminé, mais ça va le ralentir et lui faire attirer l'attention des voisins s'il essaie de s'arrêter. Par rapport au coût d'installation de la porte, ça vaut la peine IT!
Eh bien avec un PortScan simple, l'attaquant aura les informations de toute façon. Comme il a déjà écrit certains autres gars, il fournira un faux sentiment de sécurité.
La réponse est sans aucun doute La meilleure question est de savoir si elles devraient jamais être stockées non cryptées. Si vous êtes en tant que programmeur construisez un système où vous stockez des adresses IP de l'extérieur de votre entreprise, vous feriez mieux de vérifier auprès du service légal. quelles lois s'appliqueraient à votre entreprise.