Foros Club Delphi

Foros Club Delphi (https://www.clubdelphi.com/foros/index.php)
-   Varios (https://www.clubdelphi.com/foros/forumdisplay.php?f=11)
-   -   Seguridad en servicio REST (https://www.clubdelphi.com/foros/showthread.php?t=93602)

MAXIUM 26-11-2018 20:36:25
Seguridad en servicio REST
 
Estimados,

Quiero desarrollar una aplicación de escritorio que almacene los datos en la nube. Más bien usando el motor de base de datos de un simple hosting compartido (MySQL). Y por supuesto que rescate la información usando REST con otra aplicación de escritorio.

Como todo es hackeable hoy en día, ¿basta con encriptar la información antes de subirla y almacenarla. Y luego descargarla y desencriptar o existe otra forma más eficiente? No quiero liarme, pero si me dicen que eso es suficiente, esta bien para mi.

Siempre echando mano en áreas no vistas antes :D

dec 27-11-2018 09:27:05
Hola a todos,

Yo diría que lo que hay que tender a hacer es usar un protocolo como HTTPS en lugar de HTTP, en lugar de andar cifrando y descrifrando.

¿O no? :)

gatosoft 27-11-2018 14:17:56
Si vas a trabajar con DataSnap, además de la opción que propone DEC, puedes utilizar los FILTERS, que te comprimen y/o encriptan la información que se maneja entre cliente y servidor, y tu no te preocupas por ello.

mamcx 27-11-2018 15:56:44
Cita:
Empezado por MAXIUM (Mensaje 529745)
simple hosting compartido (MySQL).
Por aqui ya la cosa sale mal "compartido" no es la forma de hacer cosas seguras (y ademas hablando de mysql, los hosting compartidos tienden a ser baratos y malos). Otra cosa es si usas un proveedor decente como Azure o Amazon.

La seguridad arranca por aislar y definir bien cada componente, y aplicar las practicas de seguridad apropiadas.

1- Definitivamente usa HTTPS. Es molesto de configurar en maquina local. Yo uso https://caddyserver.com/ que es super simple de operar (te descarga un unico ejecutable con todo los plugin que quieras) como un "proxy reverso".
2- Ya que es poco probable que sepas un monton de detalles que me quiero ahorrar, pon tu servidor detras de https://www.cloudflare.com/ (de paso, esto te da el https!)
3- No almacenes informacion sensitiva en texto plano. Esto no se limita a passwords!
4- No inventes tu seguridad. Usa librerias probadas y aplica exactamente los pasos.
5- Usa un password manager y usa claves que te genere ese password manager. Yo uso https://www.enpass.io/.
6- Ya hiciste todo esto. Como sabes si te hackearon? Necesitas agregar como minimo un rastreo de logs. Y monitoreo de tus servicios.


La franja horaria es GMT +2. Ahora son las 14:49:16.

Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi