确保移动应用程序的SSL通信安全

时间:2014-04-10 10:15:10

标签: android ios security ssl

我们致力于确保移动应用通过SSL进行通信。不安全的风险之一是让某人从HTTP GET / POST请求中嗅探头信息并获取用户名/密码。但是,我一直想知道如果移动设备通过2G / 3G,家庭wifi等交换数据,有人可以嗅探网络数据包。它是否只是“不安全”。什么时候通过公共wifi交换数据?

3 个答案:

答案 0 :(得分:0)

首先通过HTTP发送密码永远不是一个好主意,因为散列密码会更好或使用像OAuth /

这样的东西

第二个黑客已经证明他们可以spoof cell phone tower并从连接的设备中捕获数据。

HTTP response caching也是一个主要问题,如果您发送格式错误的标头黑客可能会拦截重定向到自己服务器的数据。

因此,使用SSL(TLS)并检查证书是否有效,不允许任何重定向,您应该没问题。直到下一个大黑客(heartbleed)。

答案 1 :(得分:0)

简单地尝试始终使用HTTPS,至少。

这很简单且受到相对保护。

答案 2 :(得分:0)

一旦你通过任何网络发送数据,线路上有很多点(虚拟或物理)可以发生这种“嗅探”。关于公共wifi的问题是,它是公共的:D这意味着,任何人都可以访问并与所有其他用户在同一网络中。这使攻击更容易。但2G / 3G并不比公共wifi弱。这些数据是通过其他方式发送的。它是加密的,但这种加密可以被“黑客攻击”。并且,有很多要点,传输的数据包通过,很容易访问流量。例如。周围有交换机,提供所谓的“维护端口”,通过这个交换机通过每个数据包。然后,这可以用于满足维护需求......

另一种不错的技术用于海外连接。那里有模块,它们“简单地”插在大型海外电缆之上,让您可以观察正在进行的流量。

你看,额外的加密永远不会伤害:D