Итак, немного предыстории о безопасности и проекте. Разработка личного приложения для заказчика. Это приложение должно быть безопасным. Один из способов обеспечить его безопасность — запретить внешние подключения к этому. Это означает, что могут быть выполнены только внутренние соединения. Или соединения через VPN, безопасность которых мы заложим провайдеру VPN. Однако мы должны учитывать и иметь в виду проблему безопасности местных пользователей. У нас было много мыслей по этому поводу, когда мы просто отключили безопасность на сетевых устройствах уровня 2 и безопасность ldap внутри организации. Однако теперь мы сталкиваемся с борьбой в рамках набора авторизованных пользователей (некоторые очень умные люди), как нам обеспечить безопасность здесь.
Итак, вопрос. Если у нас есть SSL-слой для приложения. Разрешить пользователям доступ к веб-серверу только через SSL-соединение. Защитит ли он весь трафик?
Сценарий:
Пользователь A входит на этот веб-сайт с IP-адресом 10.x.x.180 (под ssl).
Пользователь B сидит с открытым wireshark и нюхает в этой сети любой трафик на IP-адрес 10.x.x.180.
Пользователь A звонит на веб-сайт, чтобы просмотреть веб-страницу. Эта веб-страница вызывает локальный файл json на этом сервере. Возвращает json в приложение. Затем этот json читается и отображается пользователю А.
В. Сможет ли пользователь Б увидеть эти данные в своих сниффинг-пакетах? или он просто увидит зашифрованные SSL данные?
