169 похожих чатов

Приветствую, ребята! Столкнулся с интересной задачей. Обычно для защиты данных между

фронтом и бэком использую JWT-токены. Но в этот раз требования интереснее:

- с бэкенда на фронт должны прийти персональные данные в зашифрованном виде.
- на фронте к этим данным нужно добавить еще некоторые данные
- полученный набор данных должен уйти с фронтенда на бэкенд опять же в зашифрованном виде.

JWT сразу не подходит, т.к.на фронте дописать что то в него не выйдет.

Подскажите, пожалуйста, как обычно поступают в таких случаях?

32 ответов

29 просмотров

https

Sergio-K. Автор вопроса
arts
https

https используетс, куда же без него. Но надо бы еще и данные передавать в зашифрованном виде между фронтом и бэком.

смысл от шифрования, если все ключи всё равно будут доступны на клиенте

Илюша 🎂
смысл от шифрования, если все ключи всё равно буду...

Если клиент правильно настроен, то даже у его пользователя нет возможности, получить доступ к этим ключам.

cool29horhoj
Если клиент правильно настроен, то даже у его поль...

Это как надо настраивать клиент? Сомневаюсь что можно консоль браузерную как-то заблокировать

Denis Deniskov
Это как надо настраивать клиент? Сомневаюсь что мо...

У нас было запрещено все. У chrome есть спец политики безопастности.

cool29horhoj
У нас было запрещено все. У chrome есть спец поли...

Ну это у вас, у среднестатистического пользолвателя это сделать не возможно

А надо добавлять данные или изменять?

Denis Deniskov
Ну это у вас, у среднестатистического пользолвател...

пользователю и не надо это делать. Это нужно только для корпоративной безопастности. С помощью СКЗИ можно настроить любой компьютер так, что не изменить программную среду, не похитить данные в принципе с него будет не возможно.

cool29horhoj
пользователю и не надо это делать. Это нужно толь...

Да настроить можно, но речь выше шла о клиенте среднестатистическом, а не о конкретном клиенте

Denis Deniskov
Да настроить можно, но речь выше шла о клиенте сре...

Что за среднестатистический клиент? Админ локалхоста?

Denis Deniskov
Пользователь сайта например

К любому пользователю сайта, клиент которого мы не можем контролировать, нужно относиться как к бандиту уровня Мориарти. Только так можно писать например сайты без уязвимостей.

cool29horhoj
К любому пользователю сайта, клиент которого мы не...

но с сайтом проще, подключил стой юзерскрипт и у тебя уже собственный интерфейс с нужными возможностями при сохранении того же протокола общения с сервером

Sergiy Shatunov
но с сайтом проще, подключил стой юзерскрипт и у т...

Как я уже сказал, если мы хотим гарантий безопастности, защищено должно быть защищено все. Если апи допускает использование стороннего клиента, то навряд ли там есть ценная информация.

cool29horhoj
Как я уже сказал, если мы хотим гарантий безопастн...

на самом деле ключи и пароли не должны быть доступны в том числе и программисту, тоступ иключительно директора и его замов

Sergiy Shatunov
на самом деле ключи и пароли не должны быть доступ...

Ну есть электронные ключи для этого. ПОэтому при желание даже у "программистов" доступа не будет. Слабое звено однако это лица с наивысшим уровнем допуска. Например те кто подготавливает "чистые системы". Поэтому круг таких лиц всегда должен быть минимальным.

cool29horhoj
Ну есть электронные ключи для этого. ПОэтому при ж...

им во время работы можно предоставить тестовые фейковые данные, тогда и этот штат не будет необходимости ограничивать

Sergiy Shatunov
им во время работы можно предоставить тестовые фей...

Я немного про другое. Если я настраиваю систему защиты, то у меня есть куча вариантов оставить для себя "черный ход". Соответственно я и являюсь наиболее слабым звеном защиты такой системы. А следовательно моя жизнь в таком случае также должна быть воплощением принципа паранойи и недопущения применения ко мне "физического доступа" и методов социальной инженерии.

cool29horhoj
Я немного про другое. Если я настраиваю систему з...

паранойа это наше естественное состояние, с другой стороны та же паранойа может быть мотивом оставить эти самые дыры

Sergiy Shatunov
паранойа это наше естественное состояние, с другой...

Ну там где есть необходимость резервирования скрытых возможностей, как гарантии своего физического выживания, в принципе лучше не работать. Жизнь дороже любых денег.

cool29horhoj
Как я уже сказал, если мы хотим гарантий безопастн...

А как же госуслуги? Они допускают любой браузер и там есть ценная инфа

Denis Deniskov
А как же госуслуги? Они допускают любой браузер и ...

Ну я знаю что их ломают все кому не лень, в смысле учетные данные воруют.

cool29horhoj
Ну я знаю что их ломают все кому не лень, в смысле...

Ну случаи бывают, но единичные, чистую среду тоже все кому не день ломают

Denis Deniskov
Ну случаи бывают, но единичные, чистую среду тоже ...

Нет, Когда госуслуги пользуют на домашнем компе или телефоне это явно не "чистая среда". А скорее очень сильно загрязненная.

Denis Deniskov
Да, но и чистые среды ломаются на раз два

У вас достаточно квалификации для этого?

cool29horhoj
У вас достаточно квалификации для этого?

Для того чтобы делать подобные утверждения, да

Denis Deniskov
Для того чтобы делать подобные утверждения, да

Тогда возможно вы и правы. Я специально например не занимался взломом СКЗИ, кроме запуска сертифицированной сканеров уязвимостей. Однако если ваша квалификация поззволяет обойти аппартное шифрование жесткого диска в целях изменения защищенной программной среды, то как говориться снимаю шляпу в нижайшем поклоне.

cool29horhoj
Тогда возможно вы и правы. Я специально например ...

Просто часто чистые среды на самом деле оказываются очищенными, но не чистыми и в них остаётся достаточно дыр, конечно при желании можно оградиться настолько что обычные хакеры не доберутся до данных, но мы знаем о случаях взлом даже атомных электростанций, а там требования к безопасности самые строжайшие. Но я всё это писал к вопросу человека о шифровании данных на клиенте, как пример я привел госуслуги, в которых подобные данные есть и они не шифруются на клиенте. Конечно есть ещё гомоморфное шифрование, но сомневаюсь что в кейсе про личные данные есть потребность в нем, либо в другом шифровании на клиенте. Потому что данные будут украдены с клиента в таком случае в момент их ввода, до шифрования

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта