Я заинтересован в использовании Mylar для предстоящего проекта.Может ли Майлар быть взломан?
Обещания, которые Mylar делает впечатляющими. Тем не менее, может ли разработчик написать обратную атаку в код, который разрешен для запуска (проверяется хешей/сигнатурой), чтобы данные были скомпрометированы (вероятно, через XSS)? Майларовая документация говорится:
«Майларовый гарантирует, что код на сторону клиента приложения является подлинным, даже если сервер злостно»
Единственный способ, которым я могу представить, что это защита от этого - для самого браузера, запрещающего исходящую передачу незашифрованных данных. Но для того, чтобы это произошло, как приложение может запросить базу данных, сделать обратные вызовы на сервер (я понимаю, что Mylar лучше всего использовать с фреймворком на стороне браузера, таким как Meteor, но тем не менее Meteor должен взаимодействовать с сервером для определенных задач).
Является ли Mylar в состоянии обеспечить полную защиту данных даже от администратора приложения/сервера?
Вот претензии майлара (от http://www.mit.edu/~ralucap/mylar.pdf):
3,4 Угроза модель
угрозы. И приложение, и серверы баз данных могут полностью контролироваться противником: противник может получить все данные с сервера, заставляя сервер отправлять произвольные ответы на веб-браузеры и т. Д. Эта модель включает в себя широкий спектр приложений реального времени, мировой безопасности проблемы, от ошибок в серверном программном обеспечении до инсайдерских атак. Mylar также позволяет некоторым игровым машинам управлять противником и скрыть с сервером. Это может быть либо потому, что противник является пользователем приложения , либо потому, что противник ворвался в машину пользователя . Мы называем этого противника активным, в отличие от пассивного противника, который подслушивает всю информацию на сервере, но не вносит никаких изменений, так что сервер отвечает на все запросы клиента , как если бы он не был скомпрометирован.
Гарантии. Mylar защищает конфиденциальность элемента данных перед лицом произвольных компрометаций сервера, если ни один из пользователей с доступом к этому элементу данных не использует скомпрометированную машину.
В этом контексте «скомпрометированный компьютер» означает клиентскую машину/браузер.
После повторного прочтения Mylar white paper, я вижу, где в документе говорится:
Предположения. Для обеспечения вышеуказанных гарантий, Mylar делает следующими предположениями. Майлар предполагает, что веб-приложение как , написанное разработчиком, не отправит пользовательские данные или ключи на ненадежных получателей, и не может быть обмануто при использовании , использующих ошибки (например, межсайтовые скрипты).Наш прототип Mylar построен поверх Meteor, рамки, которая помогает программистам избегать многих распространенных классов ошибок на практике.
Означает ли это, как приложение было написано во время шифрования или во время атаки? Другими словами, зашифрованные данные каким-то образом привязаны к определенной версии кода приложения? В другом месте в referenced Mylar white paper это указывает на то, что код приложения проверяется против хэш-сигнатуры.
Если код приложения можно просто взломать на сервере, это значительно уменьшит предложение стоимости, так как любой злоумышленник, который получает доступ к исходному коду, может изменять данные кода и выщелачивать по мере его запроса (в браузере). Гарантия «защиты конфиденциальности перед лицом произвольных компрометаций сервера» представляется достаточно широкой, чтобы включить идею злоумышленника, изменяющего исходный код приложения, отсюда и моя путаница.
Дополнительную информацию см. Также в разделе 6 в техническом документе. Я полагаю, что документ Mylar сообщает, что он смягчает скомпрометированные атаки кода приложения. Мне бы очень хотелось услышать от дева с авторитетным пониманием Майлара.
Grubbs (2017): Почему Ваш Зашифрованные базы данных не является безопасным: https://eprint.iacr.org/2017/468.pdf – asmaier