it-swarm-es.com

¿Debería también encriptarse la carga útil de la notificación push?

Si tiene una aplicación totalmente cifrada de extremo a extremo, los mensajes Push enviados al APNS o GCM también deben estar cifrados.

La carga útil solo contiene identificadores de mensaje, desde uid n conversación gid. ¿Existe un riesgo importante si no ciframos esto?

¿Cómo lo hacen otras aplicaciones como WhatsApp o Signal? Leí que Signal solo envía una llamada de atención sin detalles adicionales en su carga útil de notificaciones Push.

5
WiredTheories

Creo que debería cifrar esto, debido a la fuga de datos de perfiles, esta información puede contener el tiempo de conversación entre dos clientes (incluso eliminan mensajes) y es muy bueno para la marca, puede decir que tiene la aplicación totalmente cifrada. pero para determinar el riesgo real, debe preguntarse a sí mismo, con esa información como "ID de mensaje" lo que puede obtener sobre el usuario, cuando digo que me refiero a cada persona con acceso a la base de datos y al servidor. ¿Puedes encontrar el mensaje de quién y para quién? en caso afirmativo, su riesgo de fuga de datos.

sobre la aplicación de señal de acuerdo con este enlace tienen pérdida de datos en la aplicación de escritorio (pero envían el cuerpo del texto en las notificaciones es una pesadilla) pero en su caso, no envía el cuerpo del texto a los clientes .

de acuerdo con cuál es la aplicación faq : sus mensajes, fotos, videos, mensajes de voz, documentos, actualizaciones de estado y llamadas están protegidos de caer en las manos equivocadas.

parece que no cifran las notificaciones. pero zulip mobile notificaciones de cifrado

1
Benyamin

Todo depende del nivel de seguridad que desee para sus usuarios/clientes o de lo que requieran sus usuarios/clientes. Por lo general, las identificaciones de mensajes no son una gran información para un atacante que quiere conocer sus conversaciones.

No sé cómo lo hace Whatsapp, pero Apple tiene NNotificationServiceExtension que le permite cifrar completamente la carga de notificación a través de APNS y luego dejar que la aplicación haga el descifrado antes de mostrar la notificación. Estoy seguro de que hay una API similar en Android.

Y dado que ya hay API que lo ayudan a hacer esto muy fácilmente ... ¿por qué correr el riesgo de no cifrar?

0
daygoor