私は多くのWebサービスを消費し、それらからのデータも要求するiphoneアプリに取り組んでいます。私のWebサービスリンクはすべて「http:// ipaddress/webservice」です。私は自分のアプリのセキュリティ面に関心があり、疑問に思っています
1)iPhoneアプリからサーバーに送信されるリクエストとそれに関連するデータを確認するのは簡単です。
2)また、フィドラーなどのインターセプトツールで投稿リクエストの本文を実際に表示できる場合。フィドラーによってデータが記録されないようにする方法はありますか。
3)最後に、サーバー側で、自分のWebサービスにアクセスしようとしているiPhoneか、WebブラウザーやAndroid電話などの他のソースかどうかを確認するにはどうすればよいですか。
ありがとう
1:非常に簡単です。一意のキーを使用してデータを暗号化し、アプリケーションで復号化することができます。また、SSLを使用したいかもしれませんか?
2:わからない。
3:ユーザーエージェントを使用することもできますが、それは変更できますが、その1つの解決策です。ただし、暗号化を使用する場合は、とにかく重要ではありません。結果が読めないからです。
編集し、下のリンクも見てください。 Xcode:最終的なiOSアプリでリソースファイルを非表示/保護しますか?
http(s)トラフィックをスニッフィングするのは簡単です。SSLトラフィックを復号化することさえできるmitmproxyと呼ばれるツールがあります。WiFi経由で送信するものはすべて、それを聞いている人なら誰でも傍受して記録することができます。
私のアドバイスは、URLの一部としてユーザー名とパスワードを送信しないことです。つまり、mysite.com / auth?user&pass = 12345であり、SSLを使用することです。
ヘッダーに特別なユーザーエージェント文字列をエンコードすると、その方法でクライアントを識別できます。