Appide transpordi turvalisuse (ATS) keelamisega seotud turvaaukude käsitlemiseks DeepSEEKis oleks võinud rakendada mitmeid alternatiivseid turvameetmeid:
1. ATS lubamine ja jõustamine: kõige sirgjoonelisem alternatiiv on võimaldada ATS -i ja tagada, et kogu rakenduse ja selle taustateenuste vaheline suhtlus kasutaks HTTPS -i. See takistaks rakendusel saata tundlikke andmeid krüpteerimata kanalite kaudu, vähendades märkimisväärselt keskmiste rünnakute (MITM) rünnakute riski [2] [4].
2. Rakendage otsast lõpuni krüptimine (E2EE): Deepseek oleks võinud E2EE rakendada, et kaitsta kasutajaandmeid pealtkuulamise ja manipuleerimise eest. See hõlmab andmete krüpteerimist kliendi poolele enne selle edastamist serverisse, tagades, et ainult kavandatud saaja saab selle dekrüpteerida. See lähenemisviis kaitseks tundlikku teavet isegi siis, kui andmed on ülekande ajal pealtkuulatud [6].
3. Kasutage tugevamaid krüptimisalgoritme: aegunud krüptimisalgoritmide kasutamise asemel, näiteks 3DES, oleks Deepseek võinud kasutada turvalisemaid ja kaasaegsemaid krüptimisstandardeid, näiteks AES-256. See muudaks ründajatele tundlike andmete dekrüpteerimise ja juurdepääsu palju raskemaks [4] [6].
4. Sertifikaadi kinnitamine: sertifikaadi nõuetekohase kinnitamise rakendamine aitaks ründajatel liikluse pealtkuulamiseks kasutada võltssertifikaate. See hõlmab eeldatava SSL/TLS -i sertifikaadi või avaliku võtme manustamist rakenduses, tagades, et ainult eeldatava sertifikaadiga suhtlemist usaldatakse [6].
5. Mobiilirakenduste kinnitus: mobiilirakenduste kinnituslahenduse kasutamine nagu Autfriptov võiks tagada, et rakenduse ainult ehtsad, modifitseerimata juhtumid saavad luua taustaprogrammi API -dega. See takistaks rikutud või ümberpakendatud rakendustel teha loata API -taotlusi ja varastada kasutajaandmeid [2].
6. Turvaline andmesalvestus: Deepseek peaks tagama, et kõik seadmesse salvestatud või serveritele edastatud andmed on krüptitud ja kaitstud volitamata juurdepääsu eest. See hõlmab tundlike andmete, näiteks paroolide ja krüptimisvõtmete jaoks turvaliste salvestusmehhanismide kasutamist [4] [6].
7. Regulaarsed turvaauditid: regulaarsete turbeauditite ja läbitungimise testimise läbiviimine aitaks haavatavusi varakult tuvastada, võimaldades DeepSekil nende poole pöörduda enne, kui nad saavad peamisteks probleemideks. See ennetav lähenemisviis suurendaks rakenduse üldist turvaasendit [2] [4].
Neid meetmeid rakendades võiks Deepseek oma turvalisust märkimisväärselt parandada ja kasutajaandmeid tõhusamalt kaitsta, vähendades ATS -i ja muude turvaaukude puude ja muude turvaaukude puudetega seotud riske.
Tsitaadid:
]
]
[3] https://www.digitalocean.com/resources/articles/deepseek-alternations
]
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-riskid
]
]