Нужно ли шифровать траффик web приложения?

Question

[Proshka17]

Добрый день!
Я делаю веб приложение (веб сервис)
Он работает по https/wss
Возник такой вопрос:
Есть ли смысл шифровать данные, которые я передаю по https и wss на сервер? С помощью RSA например.
Или это не требуется и приложении уже считается безопасным, так как приватный ключ есть только на сервере?

Answer 1

[Василий Банников]

Если нужно, то только в каком-то очень узком наборе случаев.
Даже Vault в своём UI не заморачивается с дополнительным шифрованием.
Даже банки и прочие PCI dss сертифицированные системы не добавляют второй слой шифрования.

Единственный случай, когда я наблюдал шифрование поверх https - это EDI over HTTPS.
Но там шифрование не само по себе "для дополнительной безопасности", а как часть EDI, который обычно по нешифрованным каналам типа SMTP или FTP передаётся.

Answer 2

[Олег Милованов]

Смысл конечно есть, безопасности много не бывает.
Вопрос в другом, а нужно?
По пробуй использовать технику принятия решений "Квадрат декарта".
Я так часто делаю, если в чем-то сомневаюсь )

Comments

[Proshka17]

А какой смысл?
Кажется https/wss делает ровно то же самое, нет?
Есть ли кейс, в котором такое ручное шифрование защитит данные, а https/wss нет?

[Олег Милованов]

Proshka17, В протоколе tls присутствуют логические уязвимости, шифрование лишним не будет.

[Василий Банников]

Олег Милованов, но в чём смысл такого дополнительного шифрования, если на стороне клиента точно также будет ключ для шифрования?

[Олег Милованов]

Василий Банников, Дело не в ключах на стороне клиента или источника, дело в потоке данных.
Есть "абракадабра", которую можно прочесть, а есть такая - которую тоже можно прочесть, но для этого нужно сильно напрячься.
Поэтому возвращаемся к исходному моему сообщению:

Вопрос в другом, а нужно?