В настоящее время наше приложение разработано для облегчения всей связи через веб-ячейки после начальной загрузки.
Мы пытаемся найти решение для безопасного переноса конфиденциальных данных через этот транспорт.
До сих пор мы думаем о нескольких вещах:
- Аутентификация транспорта websocket путем передачи уникального хэш, хранящийся в файле cookie сеанса, который был отправлен через SSL при начальной загрузке.
-
Клиентское шифрование с использованием чего-то вроде javascript bcrypt чтобы зашифровать все до его транспортировки.
-
Просто передайте все конфиденциальные данные с обычной почтой через SSL даже хотя мы этого не хотим.
Что-то вроде номера 1 будет лучшим результатом, но мы не знаем, могут ли веб-сайты уязвимы для таких вещей, как человек в середине атак даже после аутентификации.
Любая помощь, позволяющая справиться с возможными сбоями в системе безопасности или любые другие идеи о том, как добиться подлинной безопасности над веб-сайтами, будет с благодарностью!