我想发送一些"私人" POST请求的数据。这些数据放在正文中并通过TLS发送,因此它被加密。
除了TLS加密之外,还有其他任何应用于保护数据的机制吗?
更新
为了不仅传输层加密而且应用层加密以保证机密性,NinjaSecurity建议当前我的客户端使用私钥加密,服务器使用公钥解密。这种机制需要服务器端和客户端之间的密钥交换,并且客户端必须能够执行不对称的编码,这可能有点痛苦,这取决于客户端使用的语言。问题是:传输层加密足以确保机密性,或者数据可能会从传输层到应用层受到影响吗?
谢谢, 伊凡。
答案 0 :(得分:1)
说实话,你真的不需要TLS / SSL上的其他层。 SSL的安全性对于安全证书而言是完善的,并且出于某种原因它是全球标准。保护传输层足以阻止窃听者,任何有足够访问客户端或服务器以攻击TLS的攻击者肯定能够检索任何应用层加密所使用的密钥。此外,如果没有现有的安全连接,您将无法为您的客户端(即JavaScript)提供安全的加密代码;如果您不信任TLS,您的客户如何信任您提供的代码?如何与客户端的浏览器建立安全连接而不给他们运行代码?
答案 1 :(得分:0)
您希望通过添加额外的安全层,机密性或完整性来实现目标?如果您认为TLS被泄露,那么您的服务器必须受到损害,因此任何额外的控制层,即额外的加密也无济于事。它也会影响您的应用程序性能。