ユーザーが場所にチェックインできるようにするPhonegapモバイルアプリケーションを構築しています。ユーザーの場所を取得して API に投稿すると、すべてが機能します。私が探しているのは、API への呼び出しのなりすましを防ぐ方法です。
私の現在の考えでは、モバイル アプリとサーバーで共有秘密鍵を持つことができます。次に、そのキー クライアント側でユーザーの場所をハッシュ (?) し、それを投稿してから、同じキー サーバー側を使用してデータを復元します。
質問する
62 次
1 に答える
1
エンド ユーザーがデバイスに完全にアクセスできる場合、そのデバイス上で実行する必要があるソフトウェアを完全に保護することは非常に困難です。
通常、セキュリティに関する主な関心事は、外部の脅威からエンド ユーザーを保護することです。
SSL/HTTPS を使用していることを確認してください。これにより、どちらのタイプの攻撃者も遅くなります。また、サーバーがプレーン http で応答しないことを確認してください。
証明書のハッシュを保持し、変更時の戦略を立てることで、HTTPS 実装を強化できます。例えば。誰かがプロトコルを表示するために自分のネットワークで MITM を試みている場合、または証明書の有効期限が切れていて更新した場合は、ありふれたことです。
通信チャネルは「保護」されており、攻撃者がソース コードと暗号化キーに完全にアクセスするのを防ぐ方法はありません。残っている唯一の方法は難読化です。
基本的に、1 つまたは 2 つの保護レイヤーを (重要度に応じて) セットアップし、API エンドポイントに検出メカニズムを構築して、ハッキングの試みを警告します。
于 2013-05-14T23:04:39.120 に答える