Время историй

На работе, где я работал в прошлом, разработчик, который работал там до меня, создал свою собственную схему кодирования. Он будет принимать необработанные двоичные данные, содержащиеся в сообщении, и сопоставлять определенные последовательности байтов с определенными символами. Это было полностью выдумано, и комментарий, который он оставил к коду, был таким:

// Obfuscation technique. Base53 encoding for security

Хотя это может сбить злоумышленника с толку на пару минут, эта обфускация предлагает больше потенциальных ошибок с точки зрения ненужной сложности, чем пользы для безопасности. Благодаря бесплатным и простым в использовании библиотекам шифрования, доступным на всех основных языках программирования, в наши дни нет оправдания попыткам создать свои собственные.

В описанной выше ситуации следовало использовать ECC, RSA, AES-256 или другой безопасный алгоритм. По иронии судьбы, на его реализацию также, вероятно, ушло бы меньше времени.

Безопасность может быть сложной задачей, но если вы потратите время на использование лучших практик, это сэкономит вам много времени и головных болей в долгосрочной перспективе. Удачи и берегите себя там!

Лейн Вагнер

Пост Стоп с обфускацией: кодирование и шифрование — это не одно и то же впервые появился на Qvault.