- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我们有一个网络应用程序,它提供了一个简单的“通用 Http 处理程序”(ASP.NET),用于提供一种获取移动应用程序 session 的简单方法。
Atm 整个概念/应用程序处于演示/alpha/测试状态 - 所以不要惊恐地举手......:)
我意识到存在几个安全问题:
.apk
文件并进行一些逆向工程以获取共享 key (和盐)<一些侧节点:
由于我们计划让我们的客户有可能通过移动应用程序访问我们的网络应用程序(处理程序只是其中的一部分),所以我们并不真正关心在市场上发布它......但也许这会改变.因此,atm 该计划不包括 .apk
的“公开赠送”。
我已经对“如何调整响应,以便只有移动应用程序才能有效地使用它”这个问题做了一些研究(例如 How do I secure a .NET Web Service for use by an iPhone application?)。
我相信这一定是一个更普遍的问题,如果你在 android/co 上,这不仅仅是要考虑的问题......所以“最佳实践”可能不仅限于 android(你会有相同的iphone 或 winforms 上的场景也是如此)——它更多的是关于:如何处理远程组件以执行重要功能(例如登录、数据库访问……)
最佳答案
在将由所有客户共享的应用程序中使用共享 key 绝对不是解决方案。
实际上,您始终可以实现自己的安全协议(protocol)(使用非对称加密,...)或使用其他协议(protocol)(安全 RPC、IPsec 等),但实际上 SSL 是更轻量级的解决方案(协议(protocol)和实现)用于此类用途。此外,由于它非常常见,因此部署起来非常容易(= 便宜),并且当前的实现是安全的并且针对性能进行了优化。
关于android - 最佳实践 : How do I secure Http-Requests (eg Login) from a mobile application,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6057483/
我是一名优秀的程序员,十分优秀!