私は自問しています。iOS デバイスからサーバーに個人情報を送信する最良の方法は何ですか。
この時点で、アプリのパスワードを暗号化して ( sha1 salt password pepper )、iOS からサーバーに投稿データを送信します。
ユーザーを保護し、MITM 攻撃から保護するための最良の方法は何ですか。私のやり方は十分に安全ですか?
アップデート:
SSL証明書を追加しました。ユーザーが登録したときに生成されたキーを保存したら、ユーザーがログインするだけで済むようにします。ユーザーが初めてログインするときにそれらを取得します。ユーザー名とユーザー ID と組み合わせて使用します。これは良い方法ですか?ジェイルブレイクされたユーザーのみがそれを読むことができ、リスクがあります。
クライアント側でパスワードをハッシュ化すると、盗聴でパスワード自体が検出されるのを防ぐのに役立ちますが、資格情報が元のパスワード自体ではなく、パスワードのハッシュ化されたバージョンになるため、実際にはそれ自体ではセキュリティを提供しません。盗聴者は、ハッシュ化されたバージョンを取得して、ハッシュ自体を送信することができます。
最も簡単な解決策は、単純に SSL/TLS を使用することです。「投稿」について言及したので、おそらくHTTPを使用していることを意味します。代わりに、既に行っているのとまったく同じように、HTTPS 経由で接続してデータを投稿するだけです。証明書の有効性がチェックされている限り (iOS フレームワークは既にデフォルトでチェックされていると思います)、接続は大部分が保護されているはずです。
ほとんどの場合、これで十分です。さらに強化するために使用できる、より複雑で複雑な手法がいくつかありますが、SSL/TLS はそれ自体で膨大な量の処理を行います。