Блог

Я работаю над мобильным приложением с использованием Corona SDK. Одна из его основных функций требует отправки данных между приложением и моим сервером. Мой вопрос в том, в какой момент мои попытки обеспечить безопасную передачу данных становятся избыточными?

Серверная часть состоит из нескольких файлов PHP и одной базы данных MySQL. У меня есть SSL-сертификат, и я проверяю данные на обоих концах. Само приложение выполняет сетевые запросы только через HTTPS / SSL, используя HTTP POST, а передаваемые данные представляют собой строку JSON.

На данный момент я считаю, что я сделал все так, как должно быть сделано. Однако в качестве дополнительной меры предосторожности я также шифрую и расшифровываю строку JSON на обоих концах, используя AES256-CBC.

Это дополнительное шифрование вообще необходимо или оно избыточно?

HTTPS защищает транспорт между клиентом (браузером) и сервером. В частности, он не защищает данные, находящиеся в состоянии покоя на стороне сервера (т. Е. Внутри базы данных), а не защищает передачу данных между PHP-приложением в базу данных.

Неясно, нужна ли какая-либо защита вне транспорта между клиентом и сервером. Но, похоже, что ваше шифрование AES будет защищать только тот же путь, что и HTTPS. В этом случае это, скорее всего, не добавит никакой защиты. Возможно, это может добавить защиту от законного (или вредоносного) перехвата SSL, но если ключ шифрования отправляется по тому же каналу связи, что и зашифрованные данные, то это фактически не добавит защиты.