"보안에 관심이있는"클라이언트를 다루고 있으며 포트와 IP 주소가 포함 된 모든 파일 (기본적으로 구성 정보)을 암호화해야한다고 요구하고 있습니다.IP 주소와 포트를 기밀로 간주해야합니까?
내 생각에 IP 주소와 포트는 공개적으로 사용됩니다. 이 파일은 서버의 성질을 보여줄지 모르나, 나에게 이런 종류의 "부분적인 비밀"은 잘못된 보안 감각 이외에 보안에 아무 것도 추가하지 않습니다.
이러한 종류의 정보를 암호화하여 저장해야합니까?
편집 : 하나의 작은 문제는 모바일 장치이므로 암호화를 추가하는 것은 실제로 프로세서에 상당히 까다로운 작업이며 성능이 저하 될 수 있으므로 상당히 큰 오버 헤드입니다.
가능한 한 많은 정보를 비공개로 유지하는 데 아무런 해가 없습니다. 해커가 될 가능성이 낮을수록 업무가 어려워집니다.
그러나 가장 중요한 것은 말한대로 "보안에 대한 잘못된 인식"입니다. "아무도 우리를 해킹 할 것입니다."라는 말처럼 우리의 IP 주소를 모른다는 말은 결코 발생하지 않습니다. 이 한 단계의 모호성이 당신을 안전하게 지켜줄만큼 충분하다고 생각하자마자 문제가 생깁니다.
내 견해는 고객이 요청할 경우, 그렇게 할 수도 있다는 것입니다.
구성 파일에 대한 액세스가 시스템이 이미 무겁게 손상되었다는 것을 의미하기 때문에 나는 실제로 그 점을 보지 못했습니다.
글쎄, IP 주소는 요청한 사람에 따라 개인 식별 정보로 간주 될 수 있습니다. 고객이 원한다면 그렇게 할 수도 있습니다. 암호화를 원하지 않는 이유에 따라 다른 단순한 대안으로 난독 화를 고려할 수 있습니다. 이것들이 충분히 무작위로 제공되는 한, 나는 당신의 고객이 행복해야한다고 생각할 것입니다.
귀하의 질문은 주관적인 내용입니다. 하지만 예, 설정 데이터를 암호화해야합니다. 기밀 사항에 관해서는 실제로 이유에 달려 있습니까? 클라이언트가 요청하는 것을 수행하는 것이 최선입니다.
나는 누군가가 당신의 IP를 알아내는 것이 가능했다면, 모호함은 보안이 아니며, 당신을 포로 스캔 (port scan) 할 때 그들이 사용할 수있는 공격 벡터가 무엇인지 분명하게 알 수 있습니다.
파일을 암호화하는 데 아무런 해가 없습니다. 클라이언트가 행복하다면 해보십시오. 개발에 있어서는별로 문제가되지 않기를 바랍니다.
하지만 내가하는 것은 클라이언트에게 "ip 암호화"가 everythign이 안전하다는 것을 의미하지는 않는다는 것을 교육하는 것입니다. 방화벽을 통한 액세스 제한 (가능한 경우)은 암호화보다 더 안전하다고 설명 할 수 있습니다.
이상 나는 암호화하는 것이 일반적인 관행이라고 생각하지 않습니다. 그래서 당신은 더 나은 문서가 당신이 그것을하는 방법과 당신이 그것을하는 이유에 대해 적절합니다 ;-) 그래서 미래 프로그래머들은 왜 그것이 이루어 졌는지 알게됩니다.
대부분의 OS-es에는 열려있는 모든 네트워크 연결을 요청하는 표준 지원이 있다고 생각합니다. (netstat, Windows XP, Linux의 경우) 응용 프로그램이 실제 IP 주소를 사용하여 시스템에 연결하는 경우 암호화로는 충분하지 않습니다. 그러나 응용 프로그램을 암호로만 시작할 수있는 경우 응용 프로그램이 실행되고 있지 않을 때 정보를 보는 것이 더 어려워 지므로 암호화 용도로 생각할 수 있습니다.
내가 보는 방법은 IP 주소 자체가 특권이 아니지만 침입자가 가질 수있는 유용한 정보입니다. 왜 그 사람이 그것을 쉽게 얻을 수 있도록 만들었습니까? 데이터 암호화는 단순히 그를 괴롭 히고 다른 수단을 통해 정보를 얻는 동안 속도를 늦출 수는 있지만 침입 시간이 길어질수록 자신에게 더 많은 비용이 듭니다. 그러면 잡힐 위험이 커집니다.
내 나무 앞문을 잠그면 도난당한 도둑이 멈추지 않을 것이지만 침입하려고하면 이웃 사람의 관심을 끌게됩니다. 문을 설치하는 비용과 비교하면 그만한 가치가있어!
간단한 portscan을 사용하면 공격자가 정보를 얻게됩니다. 이미 다른 사람들이 쓴 것처럼 보안에 대한 잘못된 인식을 제공합니다.
대답은 의심 할 바없이 예입니다. 진정한 프로그래밍 대답이 아닙니다. 이것은 유럽의 여러 공식 개인 정보 감시 기관의 의견입니다. IP 주소는 실제 주소와 충분히 유사하다고 간주됩니다. 그들은 100 % 신뢰할 수있는 단일 개인을 식별하지 못할 수도 있지만 여전히 개인 데이터입니다. 따라서 관련 법규 (세이프 하버 규정 등)에 따르게됩니다. 고객은 유럽 시장을 고려할 수있는 모든 권리가 있으므로이 요청은 비즈니스/법률 적 관점에서 완벽합니다.
더 나은 질문은 암호화되지 않은 상태로 저장해야하는지 여부입니다. 프로그래머가 회사 외부의 IP 주소를 저장하는 시스템을 구축하는 경우 법률 부서에 문의하는 것이 좋습니다. 어떤 법이 귀하의 회사에 적용됩니까?