IP-адреса и порты нужно считать конфиденциальными?
Относительно вопроса "Программа могла быть посреди вызова JDBC. Как я мог пойти о завершении его более корректно?" - видят , Как я могу прервать выполнение jdbc транзакция?
Примечание, что использование опроса со сном () редко является правильным решением - реализованный неправильно, это может закончиться hogging ресурсы ЦП (планировщик потока JVM заканчивает тем, что тратил беспорядочный сон количества времени и пробуждение поток).
9 ответов
Сохранение как можно большего количества информации в тайне никогда не причинит вреда. Чем меньше вы дадите потенциальному хакеру, тем тяжелее будет его работа.
Однако, самое главное, что нужно отметить, - это, как вы говорите, «ложное чувство безопасности». Пока слова «никто не взломает нас, они не знают наш IP-адрес» никогда не произносятся, это нормально. Как только вы думаете, что этого уровня неизвестности достаточно для вашей безопасности, у вас возникает проблема.
Шифрование файла не причинит вреда. Если клиент доволен, сделайте это. Я надеюсь, что когда дело доходит до разработки, это не будет большой проблемой.
Но я бы также объяснил клиенту, что «шифрование IP-адреса» НЕ означает, что все безопасно. Вы можете объяснить, что ограничение доступа через брандмауэр (если возможно) более безопасно, чем шифрование.
Более того, я не думаю, что это обычная практика для шифрования. Итак, лучше всего в документе говорится о том, как вы это делаете и почему ;-), чтобы будущие программисты знали, почему это было сделано.
Я думаю, что большинство ОС имеют стандартную поддержку для запроса всех открытых сетевых подключений. (netstat, в Windows XP, Linux.) Таким образом, если приложение фактически использует IP-адреса для подключения к системам, то шифрования явно недостаточно. Однако, если приложение может быть запущено только с паролем, я могу представить себе использование шифрования, что затрудняет просмотр информации, когда приложение не запущено.
Я считаю, что если покупатель просит об этом, вы также можете это сделать.
Я действительно не вижу в этом смысла, поскольку доступ к файлам конфигурации означает система уже сильно скомпрометирована.
Что ж, IP-адрес можно рассматривать как личную информацию в зависимости от того, кого вы спрашиваете. Если ваш клиент хочет этого, вы можете это сделать. В зависимости от того, почему вы не хотите его шифровать, вы можете рассмотреть обфускацию как еще одну простую альтернативу. Если они достаточно рандомизированы, я предполагаю, что ваш клиент должен быть счастлив.
Ваш вопрос субъективен. Но да, вы должны зашифровать свои данные конфигурации, это имеет смысл. Что касается конфиденциальности, это действительно зависит от того, почему? Сделайте все возможное, чтобы сделать то, что просит Клиент.
Я согласен с Робином, неизвестность - это не безопасность, если кто-то узнает ваш IP, что возможно, и они просканируют ваш порт, может стать очевидным, какой вектор атаки они могут использовать.
На мой взгляд, IP-адрес сам по себе не является привилегированным, но это полезная информация для злоумышленника. Зачем облегчать ему получение этого? Шифрование данных может просто раздражать его и замедлять, пока он получает эту информацию другими способами, но чем дольше длится вторжение, тем дороже это для него и тем выше риск того, что он будет пойман и остановлен.
Запирание моей деревянной входной двери не остановит решительного грабителя, но это замедлит его и заставит привлечь внимание соседей, если он попытается ворваться внутрь. По сравнению со стоимостью установки двери, это того стоит это!
Что ж, при простом сканировании портов злоумышленник в любом случае получит информацию. Как уже писали некоторые другие ребята, это создаст ложное чувство безопасности.
Несомненно, ДА . Это не настоящий программный ответ; это мнение ряда официальных органов по защите конфиденциальности в Европе. IP-адреса считаются достаточно похожими на физические адреса; они могут не на 100% надежно идентифицировать отдельное лицо, но они все равно являются личными данными. Таким образом, они подпадают под действие соответствующего законодательства (положения о безопасной гавани и т. Д.). Ваш клиент имеет полное право принимать во внимание европейский рынок, поэтому этот запрос имеет смысл с деловой / юридической точки зрения.
На самом деле, лучший вопрос заключается в том, должны ли они когда-либо храниться в незашифрованном виде. Если вы, как программист, создаете систему, в которой храните IP-адреса не из вашей компании, вам лучше обратиться в юридический отдел. какие законы будут применяться к вашей компании.