什么时候我的安全传输尝试变得多余?
At what point do my attempts at secure transmission become redundant?
我正在使用 Corona SDK 开发移动应用程序。它的核心功能之一需要在应用程序和我的服务器之间发送数据。我的问题是,在什么时候我使数据传输安全的尝试变得多余?
服务器端由几个 PHP 文件和一个 MySQL 数据库组成。我有一个 SSL 证书,我在两端验证数据。该应用程序本身仅使用 HTTP POST 通过 HTTPS/SSL 发出网络请求,并且传输的数据是 JSON 字符串。
至此,我相信我已经做了他们应该做的一切。但是,作为额外的预防措施,我还使用 AES256-CBC 对两端的 JSON 字符串进行了加密和解密。
这种额外的加密是完全必要的还是多余的?
HTTPS 保护客户端(浏览器)和服务器之间的传输。它特别不保护服务器端(即数据库内部)的静态数据,也不保护 PHP 应用程序与数据库之间的数据传输。
不清楚是否需要客户端和服务器之间的传输之外的任何保护。但似乎您的 AES 加密只会保护与 HTTPS 相同的路径。在这种情况下,它可能不会添加任何保护。它可能会增加对合法(或恶意)SSL 拦截的保护,但如果加密密钥是通过与加密数据相同的通信通道发送的,那么它实际上不会增加保护。
我正在使用 Corona SDK 开发移动应用程序。它的核心功能之一需要在应用程序和我的服务器之间发送数据。我的问题是,在什么时候我使数据传输安全的尝试变得多余?
服务器端由几个 PHP 文件和一个 MySQL 数据库组成。我有一个 SSL 证书,我在两端验证数据。该应用程序本身仅使用 HTTP POST 通过 HTTPS/SSL 发出网络请求,并且传输的数据是 JSON 字符串。
至此,我相信我已经做了他们应该做的一切。但是,作为额外的预防措施,我还使用 AES256-CBC 对两端的 JSON 字符串进行了加密和解密。
这种额外的加密是完全必要的还是多余的?
HTTPS 保护客户端(浏览器)和服务器之间的传输。它特别不保护服务器端(即数据库内部)的静态数据,也不保护 PHP 应用程序与数据库之间的数据传输。
不清楚是否需要客户端和服务器之间的传输之外的任何保护。但似乎您的 AES 加密只会保护与 HTTPS 相同的路径。在这种情况下,它可能不会添加任何保护。它可能会增加对合法(或恶意)SSL 拦截的保护,但如果加密密钥是通过与加密数据相同的通信通道发送的,那么它实际上不会增加保护。