我问自己。将个人信息从iOS设备发送到服务器的最佳方式是什么?
此时我在应用程序中加密密码(sha1 salt password pepper)然后我使用iOS发送数据到服务器。
保护用户和保护任何MITM攻击的最佳方法是什么。我的方式足够安全吗?
更新
我添加了SSL证书。为了确保用户只需登录一次我存储用户注册时生成的密钥。我在用户第一次登录时获取它们。与用户名和用户ID组合在一起。这是一个好方法吗?只有越狱的用户才能阅读并有风险。
答案 0 :(得分:7)
在客户端散列密码将有助于防止密码本身在窃听中被检测到,但它实际上并不提供任何安全性,因为凭证随后变成密码的散列版本,而不是原始密码密码本身。窃听者可以抓住散列版本,然后自己发送散列。
到目前为止,最简单的解决方案是简单地使用SSL / TLS。既然你提到'post',那就意味着你可能正在使用HTTP。相反,您可以通过HTTPS连接并发布数据,与您已经完全相同。只要检查证书的有效性(我相信iOS框架默认已经这样做了),那么连接应该在很大程度上是安全的。
对于大多数情况,这应该足够好。您可以使用一些更复杂和更复杂的技术来进一步强化,但SSL / TLS本身就有很大的作用。