php - 什么时候我的安全传输尝试变得多余？

Question

我正在使用 Corona SDK 开发移动应用程序。它的核心功能之一需要在应用程序和我的服务器之间发送数据。我的问题是，在什么时候我使数据传输安全的尝试变得多余？

服务器端由一些 PHP 文件和一个 MySQL 数据库组成。我有一个 SSL 证书，我在两端验证数据。该应用程序本身仅使用 HTTP POST 通过 HTTPS/SSL 发出网络请求，传输的数据是一个 JSON 字符串。

至此，我相信我已经做了他们应该做的一切。但是，作为额外的预防措施，我还在两端使用 AES256-CBC 加密和解密 JSON 字符串。

这种额外的加密是必要的还是多余的？

Answer 1

HTTPS 保护客户端(浏览器)和服务器之间的传输。它特别不保护服务器端(即数据库内部)的静态数据，也不保护 PHP 应用程序与数据库之间的数据传输。

尚不清楚是否需要在客户端和服务器之间的传输之外进行任何保护。但似乎您的 AES 加密只会保护与 HTTPS 相同的路径。在这种情况下，它可能不会添加任何保护。它可能会增加针对合法(或恶意)SSL 拦截的保护，但如果加密 key 与加密数据通过相同的通信 channel 发送，那么它实际上不会增加​​保护。