من مهندس امنیت نیستم، از این رو امیدوارم در مورد یک مسئله از بین برود.
من یک برنامه کاربردی دارم که به نمایندگی از کاربران آن مبادلات رمزنگاری چندگانه را انجام می دهد، قابلیت آن را از طریق اپلیکیشن bot tag تلگراف و همه داده ها از طریق http api (جمع آوری ساده https دریافت درخواست به تلگراف) کشیده شده است.
واضح است که من اولویت را برای غیر ممکن بودن در ماشین که همه چیز را اجرا می کند غیرفعال می کنم.
برای انجام این کار من برنامه را در ماشین مجازی لینوکس اجرا کردم (هیچ وجود ندارد آی پی واقعی برای رسیدن به آن )، هیچ اتصال ورودی پذیرفته نمی شود ، تنها ارتباط با جهان خارج از طریق تلگراف https درخواست و وب سایت های جریان است که به در زمان واقعی مشترک داده های مبادلات مختلف . برای اینکه بتوانید به آن دسترسی پیدا کنید، باید به صورت فیزیکی به جعبه دسترسی داشته باشید.
من به تلگراف برای برقراری ارتباط امن بین ربات و کاربران اعتماد دارم، همچنین فرض می کنم که کاربر مسئول حفظ تلفن امن است، اگر کسی به تلفن خود دسترسی پیدا کند (و آنها حساب خود را از طریق جیمیل قفل نمی کنند) سپس مهاجم می تواند از طرف آنها تجارت کند. همچنین من در معرض خطر کسی که برای دسترسی به جعبه در نظر نیست …
سوال این است: از نظر امنیت فناوری چگونه من مطمئن هستم با این راه اندازی؟ هر گونه حملاتی که هنوز می توانند به جعبه دسترسی داشته باشند (کلیدها درون جعبه ذخیره می شوند، بنابراین اگر کسی بتواند در جعبه آن را اجرا کند، آن را باز می کند) …
هر بازخورد قدردانی می شود!
