我使用Parse使用从Parse.com网站下载的iOS SDK为iOS创建应用程序。
为了创建这种应用程序,ApplicationID和ClientID密钥都嵌入在iOS应用程序中,并在使用应用程序时从应用程序发送到服务器。这实际上使ApplicationID和ClientID处于明显的位置,因此任何用户都可以编写一个小程序,它会重复调用我的应用程序的各种Parse apis。
我已经在解析教程中遵循了所有安全建议,并且所有数据都有适当的角色和ACL。
但是,单个不熟练的用户只需每秒调用我的解析应用程序的登录API超过30次就可以关闭整个应用程序。
我是否遗漏了某些内容,或者使用Parse.com作为iOS应用后端的致命漏洞?
有没有人能解决这个问题?
答案 0 :(得分:0)
您可以随时通过申请大幅降低机会 晦涩的安全; - )
您可以加密密钥并在JavaScript中放置解密功能。您可以通过将该函数隐藏在一个没有人会喜欢的大型讨厌脚本的中间来进一步查找,然后缩小您的JavaScript(无论如何您应该这样做)。我相信有可能获得更多的创造力"达到一些合理的完美: - )
但是,原则上,仍然可以让一个充满动力的黑客对你的程序进行逆向工程并获得密钥。你仍然可以让它变得足够困难,所以黑客可能会寻找更容易的目标,其中有很多我们知道的目标; - )See also here 更多的想法。