在我们的应用程序中,我们通过 HTTPS 网络与后端进行通信。我的困惑是,使用加密有什么好处。
编辑:通过使用加密,我想使用 AES 加密通过已经安全的网络发送请求。所以我很困惑在已经安全的连接上使用 AES 加密是否奢侈。
【问题讨论】:
标签: java android ios encryption https
这太过分了。如果您正确配置服务器并知道如何管理证书,那么您只需要 SSL 连接。添加另一层加密(你没有描述它,所以我假设它是另一个 SSL 克隆)当然不会造成伤害,但你必须仔细设计和实现它。
之所以不常见,是因为你需要在客户端和服务器上都实现你的协议,这不是一点点努力。假设你不能保证 SSL 的安全,你就不应该完全实现专有协议。
另外,请注意,自定义协议仅在您部署 本机 客户端(您标记为“iOS”,所以我的意思是本机 C/Objective-C 实现)之前 连接:传输 Javascript 客户端(你也提到了 HTTP,所以我猜它是一个标准的 www 应用程序)是没有用的,因为如果攻击者可以破坏 SSL,它当然可以操纵 Javascript,此时你的协议是不再安全了。
【讨论】:
看起来有点过分,但我不会说不。
根据您的应用程序、您的安全问题和您工作的环境,这个额外的安全“层”(在传输之前对您的数据进行加密)可能会带来回报。也许接收端不应该能够看到数据并将它们重新路由到其他地方,也许是因为它不可信(第三方应用程序),也许是简单的数据隐私原因(合法)。
我不知道 AES 是否是一个好的解决方案,我会选择 RSA.. 但那是另一回事了。
【讨论】: