为安全问题,早上公司热烈讨论

2022-08-31 13:08:39 +08:00
 wenzaiquan199
场景:用户在前端绑银行卡,实名认证,前端通过 https 请求,明文将数据传给后端,故测试给我提了个 bug 要我前端加密传输,我网上搜了搜,觉得前端目前拿不出什么方案加密比 https 安全

测试:你这个东西加个密传给后端
我:有 https ,有一定的安全保障了
测试:但是我接口请求能看到我的身份证号什么的
我:你能拦截到别人的请求么
测试:那肯定有人能拦截到
我:我随便加个加密可以,我们代码没做混淆,别人看代码直接知道什么加密方法,随便解了,别人能从 https 把这个解析出来,破解我们这个跟玩一样,加了有意义么
测试:我之前公司都做了啊

遂测试找前端 leader 说,然后后端 leader 就说前端传过来不用加,后端给前端加密的数据就行了,前端 leader 说要,然后他们吵了半天

末了前端 leader 跟我说,要有“安全意识”,我直接回你项目混淆都不做,我从加密库找个现成的加密方法,有用么

遂结束,我也不理 leader 了,来看看大家什么意见
14165 次点击
所在节点    问与答
188 条回复
xiao109
2022-08-31 13:10:11 +08:00
他要加密那就加密呗,urlencode 一下。反正是混 KPI 嘛
wenzaiquan199
2022-08-31 13:13:09 +08:00
@xiao109 我知道能加呀,我觉得没必要,https 对我们这种项目来说够安全了,然后测试告到前端 leader 那,然后前端 leader 跟后端 leader 吵了一架,然后又说我没安全意识我直接呵呵
singerll
2022-08-31 13:17:25 +08:00
个人感觉还是有用的,至少可以提高入侵的难度,比如有人要爬虫爬你,简单的加密就能过滤很多入门级的爬虫。
boshi
2022-08-31 13:18:52 +08:00
@wenzaiquan199 做过有些项目确实指定要用国密,客户要得话就加一个,毕竟人家只是看要,不过测试提出来这样也是奇葩
madNeal
2022-08-31 13:19:00 +08:00
前端加密很多地方也是要求做的,最通常的场景是密码,尽管最终可能别人还有办法破解,但安全很多场景是提高攻击者的成本,讲究纵深防御,所以加了肯定比不加好
dzdh
2022-08-31 13:20:24 +08:00
不用控件、插件、硬件加密的前端加密都是耍流氓。

实在不行给他 base64 一下
XD2333
2022-08-31 13:20:27 +08:00
混淆也能被破解逆向,加比不加好,提高成本和难度。
winterbells
2022-08-31 13:21:15 +08:00
有时测试的想法是挺好玩的,明明自己不懂,还非要别人满足 ta 的想法
murmur
2022-08-31 13:24:17 +08:00
该加密加密一下,直接给他上国密算法,到时候国产化合规也算做了

其实这样不算国产加密合规,国产加密得买专门的密码机
eason1874
2022-08-31 13:29:12 +08:00
在业务上加密有用的,可以对抗部分抓包、代理

之前在信用卡社区看到很多人教别人用抓包 APP 去抓银行 APP 的 HTTPS 请求,有些二次加密的抓了他们也解不了,没有加密的他们抓了就能看到明文数据,从里面看出银行给自己的打分
R18
2022-08-31 13:31:41 +08:00
前端 leader 说要那就加呗。简单的编码,中等的非对称,高难度硬件加密
Martin9
2022-08-31 13:32:24 +08:00
没必要顶你 leader ,你现在没决策权,让你干啥干啥就行了,因为这是公司的项目,不是你自己的。很多事情就算觉得很蠢但也要干。
人的成长就是慢慢受锤的过程,大家都是这么过来的。
zr8657
2022-08-31 13:47:56 +08:00
赞同#12
非要扯那肯定是加密好,但是确实没什么意思。base64 糊弄下也就过去了。
sss495088732
2022-08-31 13:52:29 +08:00
op 都说了没混淆,做了跟没做有什么差.真当逆向的都是傻子了..这是瞧不起谁啊
没混淆你加不加密能提升多少成本..几分钟都算多了.
wolfie
2022-08-31 13:55:12 +08:00
让测试作为中间人抓个包试试
xsqfjys
2022-08-31 13:55:17 +08:00
测试? base64 糊弄之
dacapoday
2022-08-31 13:56:12 +08:00
前端这个不叫加密,是编码。如果是合规走形式,安全上加分。如果是真攻击,防御收效甚微。
stoluoyu
2022-08-31 13:58:15 +08:00
把态度表明,领导让做就做,让他自己协调前后端资源。
另外这种加密还是有个好处的,有些产品会有半把刀用户,打开浏览器开发者工具一看,「这网络请求里有我明文的信息,不安全啊」投诉。
DOLLOR
2022-08-31 14:02:44 +08:00
// 注:以下操作是测试要求加的,但我觉得没卵用。由此产生的一切问题由测试负责。
twl007
2022-08-31 14:06:38 +08:00
https 再不安全 把整个互联网就没安全的了

建议你让测试当场给你表现一下如何解开 https 加密 顺便发个论文更好

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/876693

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX