Cordova/PhoneGap url ホワイトリストに * を付けること、つまりすべての url を許可することに関連する潜在的なセキュリティの脆弱性について誰か説明してもらえますか?
3 に答える
記事を読んだばかりで、あなたはそれについて興味があると思います。それをチェックしてください:
http://www.nerdybeardo.com/2013/11/phonegap-xss-vulnerabilities-visited/
私は安全なモバイル アプリを必要とする組織で働いていますが、セキュリティ上の懸念から Phonegap / Cordova を除外しました。Cordova は、電話のほとんどのハードウェアおよび主要な OS コンポーネントを制御できる JavaScript API を提供します。Web ビューを使用すると、それらの API を呼び出すことができる場所からスクリプトをロードできます。簡単な例を次に示します:-
- 私の HTML5 Phonegap アプリは、ソーシャル コンテンツを提供するために私のフォーラム サイトの Web ページを埋め込みます。
- 私のフォーラム サイトでは、クロスサイト スクリプティングに対する制御が不十分です。
- 悪意のある人物が、Cordova API を呼び出して AddressBook の連絡先を取得する JavaScript を埋め込んだフォーラム投稿を投稿します。
- あなたが私のアプリで投稿を表示すると、今では悪者があなたの連絡先をすべて把握しています。
アプリ自体またはそれが消費するコンテンツには、電話を広く開放する XSS 脆弱性が存在する可能性があります。
特に電話がジェイルブレイクされていて、アプリの JS コンテンツが変更される可能性がある場合は、電話自体で実行される可能性のある攻撃が他にもいくつかあります。
これは、アプリがすべての外部ホストを信頼し、それらと通信できることを意味します。ユーザーが簡単にリンクをたどったり、危険な可能性のあるデータを入力したりできないようにするだけでよいのです。
* を使用しなくても済むのであればそれが一番ですが、RSS リーダーのようなことをしているのであれば、他に方法はありません。