Seguridad en servicio REST [Archivo]

Ver la Versión Completa : Seguridad en servicio REST

MAXIUM

26-11-2018, 20:36:25

Estimados,

Quiero desarrollar una aplicación de escritorio que almacene los datos en la nube. Más bien usando el motor de base de datos de un simple hosting compartido (MySQL). Y por supuesto que rescate la información usando REST con otra aplicación de escritorio.

Como todo es hackeable hoy en día, ¿basta con encriptar la información antes de subirla y almacenarla. Y luego descargarla y desencriptar o existe otra forma más eficiente? No quiero liarme, pero si me dicen que eso es suficiente, esta bien para mi.

Siempre echando mano en áreas no vistas antes :D

dec

27-11-2018, 09:27:05

Hola a todos,

Yo diría que lo que hay que tender a hacer es usar un protocolo como HTTPS en lugar de HTTP, en lugar de andar cifrando y descrifrando.

¿O no? :)

gatosoft

27-11-2018, 14:17:56

Si vas a trabajar con DataSnap, además de la opción que propone DEC, puedes utilizar los FILTERS, que te comprimen y/o encriptan la información que se maneja entre cliente y servidor, y tu no te preocupas por ello.

mamcx

27-11-2018, 15:56:44

simple hosting compartido (MySQL).

Por aqui ya la cosa sale mal "compartido" no es la forma de hacer cosas seguras (y ademas hablando de mysql, los hosting compartidos tienden a ser baratos y malos). Otra cosa es si usas un proveedor decente como Azure o Amazon.

La seguridad arranca por aislar y definir bien cada componente, y aplicar las practicas de seguridad apropiadas.

1- Definitivamente usa HTTPS. Es molesto de configurar en maquina local. Yo uso https://caddyserver.com/ que es super simple de operar (te descarga un unico ejecutable con todo los plugin que quieras) como un "proxy reverso".
2- Ya que es poco probable que sepas un monton de detalles que me quiero ahorrar, pon tu servidor detras de https://www.cloudflare.com/ (de paso, esto te da el https!)
3- No almacenes informacion sensitiva en texto plano. Esto no se limita a passwords!
4- No inventes tu seguridad. Usa librerias probadas y aplica exactamente los pasos.
5- Usa un password manager y usa claves que te genere ese password manager. Yo uso https://www.enpass.io/.
6- Ya hiciste todo esto. Como sabes si te hackearon? Necesitas agregar como minimo un rastreo de logs. Y monitoreo de tus servicios.