我是一名使用c#和xaml技术的Windows手机开发者 目前我正在为我的客户创建一个银行应用程序,它的目标是Windows phone 8.1 OS版本。
我正在使用Windows Phone xaml app模板进行创建。
由于这是一个银行应用程序,我需要最大限度地保证它。当我将我的Appx文件发送给银行技术团队时,他们对应用程序安全性表示担忧。他们通过逆向工程的过程向我发送了我为我的申请所写的代码。
我需要做什么?以什么方式我们可以避免这种类型的漏洞?请建议我避免这种情况的最佳方法。
由于
答案 0 :(得分:3)
银行应用程序的安全性不应取决于客户端密码的秘密。您不应该在客户端存储任何机密,因为无法将它们与攻击者保持一致。
使用加密通信(https)与服务器通信。验证已使用的证书,对用户进行身份验证,并让服务器在有限的生存时间内发出访问令牌。这些都是行业最佳实践。不要试图发明自己的安全措施。
答案 1 :(得分:2)
我认为安全隐患不再是最先进的......
一旦您的包裹提交到商店,它将被加密,并且不再那么容易进行逆向工程。您可以要求他们反编译他们从商店下载的包。
您可以做的其他事情是自己使用混淆器来使您的代码更难以进行逆向工程。
您必须确保加密本地存储的日期(例如使用PasswordVault)等。
但是最后,你仍然需要将你的代码交付给手机本身,如果有人真的想要通过它,他总能做到这一点。你可以加倍努力。
更新:我刚刚检查过,安装文件的商店加密仅适用于XAP(Silverlight)文件。还没有关于appx文件的官方状态,但肯定会来。
详见here。
