android - 最佳实践 : How do I secure Http-Requests (eg Login) from a mobile application

Question

我们有一个网络应用程序，它提供了一个简单的“通用 Http 处理程序”(ASP.NET)，用于提供一种获取移动应用程序 session 的简单方法。
Atm 整个概念/应用程序处于演示/alpha/测试状态 - 所以不要惊恐地举手......:)

我意识到存在几个安全问题:

• 如果移动设备连接到 WLAN(因为所需的嗅探例程非常简单)，您可以简单地嗅探请求(以获取用户名/密码的值)和/或响应(以在其他地方重用 session )
• 我们可以添加一些加密/解密，但因为我们在 android 上，任何人都可以解压 .apk 文件并进行一些逆向工程以获取共享 key (和盐)<
• 我们可以使用 https://... 但是 ... 如果有其他方法我很感兴趣 ... 不选择 SSL 的另一个原因:我们不托管单个 Web 应用程序，所以 ...应用程序越多，成本就越高……而且，这对公司来说很典型，我们确实想省钱 :)

一些侧节点:
由于我们计划让我们的客户有可能通过移动应用程序访问我们的网络应用程序(处理程序只是其中的一部分)，所以我们并不真正关心在市场上发布它......但也许这会改变.因此，atm 该计划不包括 .apk 的“公开赠送”。

我已经对“如何调整响应，以便只有移动应用程序才能有效地使用它”这个问题做了一些研究(例如 How do I secure a .NET Web Service for use by an iPhone application?)。

我相信这一定是一个更普遍的问题，如果你在 android/co 上，这不仅仅是要考虑的问题......所以“最佳实践”可能不仅限于 android(你会有相同的iphone 或 winforms 上的场景也是如此)——它更多的是关于:如何处理远程组件以执行重要功能(例如登录、数据库访问……)

Answer 1

在将由所有客户共享的应用程序中使用共享 key 绝对不是解决方案。

实际上，您始终可以实现自己的安全协议(protocol)(使用非对称加密，...)或使用其他协议(protocol)(安全 RPC、IPsec 等)，但实际上 SSL 是更轻量级的解决方案(协议(protocol)和实现)用于此类用途。此外，由于它非常常见，因此部署起来非常容易(= 便宜)，并且当前的实现是安全的并且针对性能进行了优化。