7

私はスマートフォンとタブレット向けの Html 5 の開発に不慣れで、現在 Html 5、CSS、jQuery Mobile、PhoneGap のプロジェクトに取り組んでいます。

アプリケーションは、XMLHttpRequest を介して実行される SOAP Web サービスを介してサーバーと通信を行います。そして、プラグイン、データ暗号化など、セキュリティのために使用する必要があるすべてに頼らなければならない場合、初心者はどのようにアプリケーションのセキュリティの問題を解決しなければならないかを知りたがっています.

検証のユーザー名とパスワードはフォームを使用していません。ページ間でパラメータを渡さないでください。私はphpを使用していません。AndroidとiOS向けに開発しているため、コードの可視性を回避するために機能するかどうかはわかりません。

私の経験不足のために、一時的にグローバル変数を使用しています.JSで、Webサービスの他の方法にアクセスするためのユーザー名とパスワードを保存します。どこから開始、続行、終了すればよいかわからないため、このセキュリティの問題についてサポートを依頼してください。

ありがとう!

4

4 に答える 4

3

https://github.com/phonegap/phonegap/wiki/Platform-Securityで入手可能な PhoneGap とセキュリティの非常に詳細な内訳があります。

簡単に言うと、データの「無線」送信が心配な場合は、Web アプリケーションの場合と同じように、SSL を備えたサーバーを使用してください。デバイスの暗号化が心配な場合は、オペレーティング システムの既定のセキュリティ メカニズムに委任されます。

于 2013-02-22T15:30:24.320 に答える
2

特定のテクノロジ スタックは、他の Web アプリケーションと何ら変わりはありません。あなたはまだ多数の脆弱性に対して脆弱です.

その音から、考慮すべきクライアント側の脆弱性についてのみ心配しています。このような場合、考慮すべき点がいくつかあります。

  1. HTML5 を使用している場合は、使用しているすべてのローカル API が保護されていることを確認してください。OWASPには、従うべきベスト プラクティスの優れたリストがあります。
  2. XSRF または CSS (クロスサイト スクリプティングまたは XSS) に対して実装しようとしているあらゆるタイプの防御は無駄になります。全体的に機能する防御の唯一のタイプは、アプリケーションのサーバー側 (この例では PHP) に実装されている防御です。
  3. また、転送中にデータを SSL で暗号化する場合は、サーバー (SOAP Web サービス エンドポイント) で処理する必要があります。これが達成できない場合、より複雑な代替手段は WS-Security ( http://en.wikipedia.org/wiki/WS-Security )を使用することです。
于 2013-02-28T22:41:11.930 に答える
0

webapps と同じセキュリティと考慮事項があり、phonegap プロジェクトで parse、stackmob、google、bing マップなどの API の秘密鍵を使用しないでください。

于 2013-02-22T15:35:51.120 に答える
0

他のコメントをフォローアップすることに加えて...各リクエストでユーザー名/パスワードを渡すよりも、HTTPS/SSL + OAUTH (または他のトークンベースのメカニズム) を使用することをお勧めします...単純な HTTP 認証は機能しますが。

于 2013-03-01T00:33:08.137 に答える