我将为Android和IOS创建类似于facebook的社交媒体应用程序。我有登录表单,用户需要提供他们的uname和密码。我的服务器团队正在处理webservices。 < / p>
如何保护遥控器上的uname和pwd,即从移动设备转移到网络服务时。 (我有使用AES加密算法的想法)
如何在应用内保持webservice网址安全 (包括android和ios)
创建这类应用时可能会遇到哪些缺陷以及如何限制我们的应用程序来自黑客?
服务器团队需要实施哪些安全措施 (他们会在php中编写服务器)。
提前谢谢?
答案 0 :(得分:2)
将密码保存在钥匙串(iOS)中。
使用SSL与服务器通信,使用POST输入用户名/密码,固定证书。
网络服务网址是公开的,任何拥有网络嗅探器的人都可以看到它。
主要黑客攻击服务器。越狱可能危及应用程序。钥匙串对越狱更具免疫力。
服务器的主要功能是如何处理用户个人信息和密码。不要保存密码,只需要保存好的SHA哈希值。
从多个角度定义您正在保护的数据的价值:用户的视角,您的价值,您的声誉,攻击者的价值。然后将安全性设计到所有视角的最高级别。请记住,高安全性可能会给用户带来痛苦。找到平衡点。
如果您关心安全性,则只有一个答案:安全领域专家设计和审查安全性。我经常审查我的设计和代码。这样的领域专家将在该领域拥有数年的全职安全经验,并可能获得CISSP等认证。任何不足之处都只是一个“不错的尝试”。
安全漏洞与普通代码漏洞不同。一个普通的应用程序可能有很多错误,只是烦人但仍然可用,甚至是一个很好的应用程序。一个安全漏洞并没有安全性,一个安全漏洞就是攻击者所需要的。