Puncte:1

Protejați mesajele în sistemul de mesagerie online

drapel my

Pe un site web, aș dori să implementez un sistem în care utilizatorii să se poată trimite mesaje reciproc. Conținutul mesajelor ar trebui protejat împotriva atacatorilor care încearcă să le citească.

Primul meu gând a fost să folosesc o pereche de chei publice/private pentru fiecare utilizator și să criptez cheia privată cu parola utilizatorului. În acest fel, un hacker care obține acces la baza de date nu ar putea decripta mesajele.

Pe de altă parte, utilizatorii își uită frecvent parolele și trebuie să le resetați. Acest lucru ar avea ca efect pierderea tuturor mesajelor din trecut.

Probabil că există o soluție mai bună pentru întregul proces și doar mă gândesc în direcția greșită. Ma poate ghida cineva?

DannyNiu avatar
drapel vu
Obligatoriu [meta discuție](https://crypto.meta.stackexchange.com/q/1566/36960), un răspuns va urma în curând.
J Fabian Meier avatar
drapel my
@DannyNiu Mulțumesc. Nu încerc să concurez cu nimeni, încerc doar să adaug ceva pe site-ul web intern al unei organizații. Vreau doar să fie ușor și sigur pentru utilizatori, bine integrat în platforma existentă.
Puncte:1
drapel vu

Aș sugera să folosiți controlul pur al accesului pentru securitate.

Utilizarea criptografiei cu cheie publică pentru a proteja comunicarea cu utilizatorii este foarte complicată și are capcane mai subtile decât doar utilizatorii care își pierd mesajul atunci când resetează parolele.

De exemplu, chiar dacă comunicarea dintre utilizatori este sigură, tot trebuie protejați-vă utilizatorii de spam în cadrul sistemelor dumneavoastră de servicii. Puteți scana în prealabil textele mesajelor trimise de utilizatori înainte de a lăsa celălalt utilizator să le primească, iar acest lucru cu siguranță nu este posibil dacă mai întâi criptați mesajele utilizatorului.

Control pur acces poate ajunge corect, sistemele pot fi securizate împotriva atacurilor cunoscute de la hackeri, trebuie doar să depuneți mai mult și în mod constant mai mult efort pentru a vă asigura că urmați cele mai bune practici din industrie (de exemplu, folosiți PKC pentru a vă conecta la contul de administrare de pe server, setați corect controlul accesului DAC și MAC). în baza ta de date etc.)

Control pur acces poate fi eficient. Folosirea prea multă criptografie vă poate complica argumentul de securitate; dar controlul accesului este adesea mai consistent și este eficient, atât la configurare, cât și la aplicarea acestuia.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.