1

ユーザーが自分の電話番号を使用して Web サービスに自分のデバイスを登録できるようにします。

SMS (ala WhatsApp) に対して検証することで、アプリケーションに入力した番号を所有していることを確認できます。その後、アプリは少なくとも動作します。

しかし、サーバーに送信されているデータを盗聴したり、変更したり、別の電話番号を使用したりすることを防ぐにはどうすればよいでしょうか? その後、好きな電話番号で登録できます。

アプリからデータを送信する前にデータを暗号化できますが、APK からすべてのソース コードを逆コンパイルすることができ、暗号化に使用されたコードを取得することができます。

では、どうすればこれを安全に行うことができますか?

4

1 に答える 1

2

アプリは Web サービスに「555-555-5555 のアクティベーション コードを送信してください」と言います。

Web サービスは「OK」と言うと、SMS を 555-555-5555 に送信します。秘密コードは生成され、妥当な時間内に期限切れになります。

ユーザーがアプリにコードを入力すると、サーバーにシークレット コードが送信され、Web サービスはその電話を「検証済み」としてマークします。

暗証番号は特定の電話にのみ送信されるため、ユーザーは暗証番号を傍受することはできません。ユーザーが十分なリソースを持っている場合、これを傍受する可能性があります...しかし、あなたは尋ねなければなりません...なぜですか? あなたにできる最善のことは、妥当な量までセキュリティを強化することです。潜在的な脆弱性を防ぐことはできませんが、強力な努力をする必要があります。

于 2013-09-27T18:08:12.313 に答える