我要爲Android和IOS創建類似於facebook的社交媒體應用程序。我有登錄表單,用戶需要提供他們的uname和密碼。我的服務器團隊正在處理web服務。什麼樣的安全性應該使用Android和IOS創建像facebook一樣的應用程序
如何保護遠程的uname和pwd,即從移動到web服務的轉移。(我有使用AES加密算法的想法)
如何保持web服務URL安全內部應用(包括Android和iOS)
哪些缺陷可能發生而創建這些類型的應用程序,以及如何限制我們的應用程序從黑客?
什麼是安全的步驟服務器團隊需要實現(因爲他們會用PHP編寫服務器)。
在此先感謝?
將密碼保存在鑰匙串(iOS)中。
使用SSL與服務器通信,使用POST作爲用戶名/密碼,固定證書。
webservice的URL是公開的,任何擁有網絡嗅探器的人都可以看到它。
主要的黑客將對服務器。越獄可以危害應用程序。鑰匙鏈對越獄非常免疫。
服務器的主要問題是他們如何處理用戶的個人信息和密碼。不要保存密碼,只是一個很好的SHA哈希值。
從多個角度定義您所保護的數據的價值:用戶的視角,對您的價值,您的聲譽以及對攻擊者的價值。然後將安全性設計爲所有視角的最高級別。請記住,高安全性可能會給用戶帶來痛苦。找到一個平衡點。
如果您關心安全性,只有一個答案:安全設計並由安全域專家審查。我總是有我的設計和代碼審查。這樣的領域專家將在這方面擁有數年的全職安全經驗,並可能獲得CISSP等證書。任何不足之處都只是一個「不錯的嘗試」。
安全漏洞與普通的代碼漏洞不同。一個普通的應用程序可能有很多煩人的bug,但仍然可用,甚至是一個好的應用程序。一個安全漏洞並沒有安全性,一個安全漏洞是所有攻擊者需要的。
感謝您的回答。 – Ruban