Хотел бы поговорить на сколько опасно держать открытые порты для обновления мобильного приложения и для HTTP сервисов.
Системный администратор настаивает, что такие решения должны работать или через VPN, или через промежуточный сервис.
Но первое просто не удобно будет для пользователя.
Промежуточный сервер, ну ещё одно звено в цепочки, которое придется поддерживать.
По скольку у меня недостаточно знаний в области кибер-безопасности, хочу посоветоваться с коллегами, кто как работает, а каких инцидентах слышал? Ну и какие советы можете дать?
Это только чтобы не передавать пароль в открытом виде. Это конечно перейдем.
Меня больше интересует какие атаки или что может происходить на открытый порт. Во всех гайдах первым делом пишут: закрывайте порты, ставьте файрвол.
Где грань между рациональной безопасностью и уже маниакальной.
(3) "закрывайте порты, ставьте файрвол" - потому что проще решить за счет сети чем отлавливать на уровне приложения.
"VPN" + "просто не удобно будет для пользователя." - посмотрите в сторону pfSense и OpenVPN, для внутреннего пользования само то, клиенты есть на многие платформы. Аутентификация по сертификату. Настраивал для требовательных менеджеров по продажам на iOS, работает норм.
Если есть возможность скачать XML публикации, то это дает информацию по точкам входа в основное приложение.
(3) "Где грань между рациональной безопасностью и уже маниакальной." - зависит от варианта использования приложения. Публикация базы 1С в паблик крайне опасная штука. По тонкому клиенту точно, смотреть https://infostart.ru/events/1269292/ " НеБезопасный прикладный программный интерфейс сервера", по HTTP сервисам чуть легче, но тоже граблей хватает.