Ich habe es mit einem Client zu tun, der sich "um Sicherheit kümmert" und er fordert, dass alle Dateien, die Ports und IP-Adressen (im Wesentlichen Konfigurationsinformationen) enthalten, verschlüsselt werden müssen.
Ich bin der Ansicht, dass IP-Adressen und Ports im Wesentlichen öffentlich sind. Die Datei kann die Art des Servers verraten, aber diese Art von "teilweiser Geheimhaltung" fügt für mich der Sicherheit nichts anderes hinzu als ein falsches Sicherheitsgefühl.
Sollte diese Art von Informationen verschlüsselt gespeichert werden?
Bearbeiten: Ein kleines Problem ist, dass es ein mobiles Gerät ist, daher ist das Hinzufügen von Verschlüsselung ein ziemlich signifikanter Overhead, da es eine ziemlich mühsame Aufgabe für den Prozessor ist und einen Leistungseinbruch verursacht.
Es ist niemals schaden, so viele Informationen privat wie möglich zu halten. Je weniger Sie einem potentiellen Hacker geben, desto schwieriger wird seine Arbeit.
Allerdings ist das Wichtigste, was Sie sagen, ein "falsches Sicherheitsgefühl". Solange die Worte "niemand wird uns hacken sie unsere IP-Adresse nicht kennen" niemals ausgesprochen werden, ist das in Ordnung. Sobald du denkst, dass diese eine Ebene der Dunkelheit ausreicht, um dich in Sicherheit zu bringen, hast du ein Problem.
Die Datei kann nicht beschädigt werden. Wenn der Kunde glücklich ist, dann tu es. Ich hoffe, es wird kein großes Problem für die Entwicklung sein.
Aber was ich tun würde, ist auch, den Klienten zu erziehen, dass "das Verschlüsseln der IP" nicht bedeutet, dass alles sicher ist. Sie können erklären, dass der beschränkende Zugriff durch die Firewall (wenn möglich) sicherer ist als das Verschlüsseln.
Ich denke nicht, dass das zum Verschlüsseln üblich ist. Also du beter Dokument ist richtig darüber, wie du es machst und warum du es tust ;-) damit zukünftige Programmierer wissen, warum es gemacht wurde.
Meine Meinung ist, dass wenn der Kunde danach fragt, Sie es auch tun können.
Ich sehe jedoch keinen wirklichen Sinn darin, denn der Zugriff auf Konfigurationsdateien bedeutet, dass das System bereits stark kompromittiert ist.
Ich denke, die meisten Betriebssysteme haben Standardunterstützung, um alle offenen Netzwerkverbindungen anzufordern. (netstat, unter Windows XP, Linux.) Wenn die Anwendung tatsächlich die IP-Adressen verwendet, um sich mit den Systemen zu verbinden, ist die Verschlüsselung eindeutig nicht genug. Wenn die Anwendung jedoch nur mit einem Passwort gestartet werden kann, könnte ich mir eine Verwendung für die Verschlüsselung vorstellen, was es ein wenig schwieriger macht, die Informationen zu sehen, wenn die Anwendung nicht läuft.
Nun, eine IP-Adresse kann als personenbezogene Information angesehen werden, je nachdem, wen Sie fragen. Wenn Ihr Kunde es wünscht, können Sie es auch tun. Je nachdem, warum Sie es nicht verschlüsseln möchten, können Sie die Verschleierung als eine weitere einfache Alternative betrachten. Solange diese ausreichend randomisiert sind, würde ich annehmen, dass Ihr Kunde glücklich sein sollte.
Ihre Frage ist subjektiv. Aber ja, du solltest deine Konfigurationsdaten verschlüsseln, es macht Sinn. Da es vertraulich ist, hängt es wirklich davon ab, warum? Ihr Bestes, um zu tun, was der Kunde fragt.
Ich stimme Robin zu, Dunkelheit ist keine Sicherheit, wenn jemand Ihre IP herausfinden würde, was möglich ist, und sie Port scannen, kann es offensichtlich werden, welchen Angriffsvektor sie verwenden können.
So wie ich es sehe, ist eine IP-Adresse an sich nicht privilegiert, aber es sind nützliche Informationen für einen Eindringling. Warum macht es ihm leicht, es zu bekommen? Das Verschlüsseln der Daten kann ihn einfach nerven und ihn verlangsamen, während er diese Information durch andere Mittel erhält, aber je länger das Eindringen dauert, desto kostspieliger ist es für ihn und desto größer ist das Risiko, dass er erwischt und gestoppt wird.
Wenn ich meine hölzerne Haustür schließe, wird ein entschlossener Einbrecher nicht aufhören, aber es wird ihn verlangsamen und ihn dazu bringen, die Aufmerksamkeit der Nachbarn auf sich zu ziehen, wenn er versucht einzubrechen. Verglichen mit den Kosten für die Installation der Tür es!
Nun, mit einem einfachen Portscan hat der Angreifer sowieso die Information. Wie einige andere bereits geschrieben haben, wird es ein falsches Gefühl der Sicherheit bieten.
Die Antwort ist ohne Zweifel YES . Es ist keine echte Programmierantwort; Dies ist die Meinung einer Reihe von offiziellen Datenschutzbeauftragten in Europa. IP-Adressen werden als den physikalischen Adressen ähnlich angesehen; Sie sind vielleicht nicht 100% ig zuverlässig, identifizieren aber ein einzelnes persönliches, aber sie sind immer noch persönliche Daten. Als solche fallen sie unter die einschlägigen Rechtsvorschriften (Safe Harbor-Bestimmungen usw.). Ihr Kunde hat das Recht, den europäischen Markt zu berücksichtigen, daher ist diese Anfrage aus betriebswirtschaftlicher Sicht durchaus sinnvoll.
Die bessere Frage ist in der Tat, ob sie jemals unverschlüsselt gespeichert werden sollten. Wenn Sie als Programmierer ein System aufbauen, in dem Sie IP-Adressen von außerhalb Ihres Unternehmens speichern, sollten Sie sich mit der Rechtsabteilung vertraut machen. Welche Gesetze würden für Ihr Unternehmen gelten?
Tags und Links security encryption