8
我想賣的iPhone應用程序,將容納一個單一的網絡視圖來一個網頁,說http://www.myapp.com/webview/我想應用有效地存儲認證所需的憑證,在網站(即只有購買了應用程序的人才能查看此頁面)安全的HTTPS加密的iPhone應用程序,網頁
我還有什麼可以在iPhone上擁有安全,簡單的webview,而無需用戶登錄(實質上,他們購買應用程序將構成他們的身份驗證頁)
任何人都可以在這方面幫助?
A
回答
18
沒有絕對的方式來實現這一目標。如果您有一個使用共享憑證的Web服務(應用程序中捆綁了一個),則可以對該憑證進行逆向工程。最終,確保在另一臺計算機上運行的客戶端是「您的」客戶端是不可能的。
已經有很多這方面的討論。這不是絕望,只有100%(甚至90%)才能解決。通過SSL的簡單共享密鑰將阻止大多數攻擊者,而不會損害用戶或花費大量開發費用。這是混淆,而不是安全,但便宜和「最有效」比昂貴和「最有效」要好得多。
如果你有一個非常高價值的產品,那麼它可能有必要更積極的(昂貴的)解決方案。所有這些解決方案包括以下兩種情況之一:
- 驗證用戶,而不是節目,或
- 持續警覺,留意新的攻擊,並與他們打補丁修復響應。
後者是非常昂貴的,永遠不會結束。確保它是值得的。
其他一些有益的討論:
- Anti piracy and app identification. iPhone SDK
- Easiest way to limit executable to running on a certain computer
- Decompiling Objective-C libraries
- Obfuscating Cocoa
編輯我想指出一件關於我提到的「SSL上的共享密鑰」。請記住,如果您不驗證證書,您將受到非常容易的中間人攻擊。易於使用的代理如Charles可以做到這一點。最好的方法是確保返回的SSL證書由根證書籤署,而不僅僅是「任何可信證書」。您可以使用SecTrustSetAnchorCertificates()重新配置應用程序信任哪些證書。 iOS5:PTL在第11章(第221頁)中介紹了這種技術。我也將其包裝到名爲RNPinnedCertValidator的庫中。
另一個好的層是實現在服務器驗證客戶端有而沒有把它放置在導線的共享密鑰挑戰 - 應答系統。維基百科關於Challenge-resonse authentication的文章包含了對算法的很好的解釋。
+0
非常感謝,謝謝。 – 2012-02-08 09:16:02
+0
修改爲包含如何緩解SSL嗅探問題。 – 2012-02-08 13:56:38
相關問題
- 1. iPhone應用程序中的安全性
- 2. iphone安全數據加密
- 3. iPhone應用程序中的安全漏洞有多安全?
- 4. 網絡應用程序的solr安全
- 5. 在iPhone應用程序中存儲API密鑰不安全?
- 6. 是否可以在iPhone應用程序中加載帶有自簽名安全證書的SSL加密網站?
- 7. ipad/iphone,安全應用程序分發
- 8. iPhone應用程序和安全性?
- 9. Cloud上的應用程序安全性不檢查加密
- 10. 從遊戲應用程序訪問SSL安全的網頁
- 11. 如何加密iphone應用程序
- 12. iPhone應用程序登錄加密
- 13. 網頁安全 - 從HTTP轉移到HTTPS?
- 14. 刮在PHP安全網頁HTTPS
- 15. 安全的應用程序
- 16. 單頁面應用程序安全
- 17. 單頁應用程序安全問題
- 18. 修改spring saml示例應用程序與HTTPS安全的IPP網址
- 19. 安全文件傳輸的跨平臺加密/解密應用程序
- 20. 在ASP.Net應用程序中安全地存儲(加密)數據
- 21. 加密/安全通信Android應用程序<-> REST webservice
- 22. 通過HTTPS的iOS應用程序的加密算法
- 23. iPhone應用程序的散列密鑰加密
- 24. iPhone應用程序中的密碼加密
- 25. HTTPS不起作用 - 網頁上的安全和非安全數據?
- 26. 安全分貝查詢單頁網絡應用程序
- 27. 一鍵安裝網頁應用程序
- 28. 在iPhone應用程序中使用REST API時的安全性
- 29. 如何使用python訪問https安全的網頁
- 30. iPhone上的HTTPS - 什麼樣的加密?
你應該真的接受下面的答案。這很棒。 – 2013-03-20 21:28:16