1

私たちは、お金が関係する Web ベースのシステムを構築しており、リクエストの送信元の IOS デバイスを識別できるシステムを実装する詐欺を回避したいと考えています。

このセキュリティの理由は、モバイルからアクションを実行するためのお金を提供し、ユーザーが一度だけお金を取得できるようにするためです。デバイスを識別できない場合、ユーザーはアクションを複数回実行できます。

この一意の識別子は、HTML、JS、サーバー側の技術を使用できますが、アプリケーションが Web ベースであり、通常の Safari インスタンスで実行されるため、ネイティブの IOS 呼び出しは使用できません。

一意の識別子は、公式のUUIDである必要はありません。

システムは、通常のクッキーよりもごまかすのが少し難しいだけで、防弾である必要はありません.

システムは、ユーザーが 1 週間後に戻ってきた場合のように、別のセッションで動作する必要があります。

ヒューリスティック ベースのシステムも歓迎です。また、LocalStorage と Cookie の任意の組み合わせも使用できます。

4

1 に答える 1

1

Web アプリケーションで一意のユーザー/デバイスを識別する唯一の方法は、Cookie を使用するか、ユーザーの IP アドレスを追跡することです。

もちろん、デバイスの IP アドレスは、所有者が移動すると変更され、Cookie はクリア/無効にするか、設定時間後に期限切れになります。

Web サイトが UDID などのデバイス固有の識別子にアクセスできるようにすることは、大きなセキュリティ リスク/プライバシー侵害になります。そのような方法を見つけたとしたら、iOS に深刻なセキュリティ ホールを発見したと言えます。

アカウントが盗まれた疑いがある場合の電子メール アラートなどのトリガーのみに関心がある場合は、デバイス タイプ (ユーザー エージェント文字列) に基づくヒューリスティックとgeo-ip-lookupを使用して、ユーザーがデバイス タイプを突然変更したかどうかを検出できます。および大陸を表示し、ユーザーにこれが事実であることを確認するように依頼します。これは、たとえば Google や Facebook が行っていることだと思います。

于 2012-10-16T10:06:08.417 に答える