2

技術的な解決策を探すというよりも、理解の問題です。私は、データベースのサポートが必要な iOS アプリケーションの構築に取り組んでいるチームに所属しています。アプリケーション コードには Swift を使用しています。Django REST API は、バックエンドで MySQL データベースをラップします。この 2 つは、Swift の NSURLSession クラスを使用して HTTP 経由で通信しています。

http リクエストの 1 つを介してパスワード情報を渡すため、リクエストを HTTPS にアップしたいと考えています。API 側では、django-ssilfyを使用して SSL ミドルウェア経由でトラフィックを強制できます。

私の懸念は、このライブラリを含めてもクライアント側で何もしないということです。私の知る限り、「http://」ではなく「https://」を含むように URL を変更するだけで済みます。渡されたデータは、接続全体ではなく、APIに到達して初めて安全になるようです。

Wi-Fi やモバイル ネットワークで NSURLSession を介して渡されるデータを保護するために何かしなければならないことはありますか? それとも、リクエストが安全であることを確認するのに十分な SSL ポートを介して調整された API ビューでセッションをポイントするだけですか?

私が軌道から外れている場合、またはすべての http 通信を安全にするためにdjango-ssilfy以外に取るべき手順がある場合はお知らせください。

そう行く!

4

1 に答える 1

1

この質問は、SSL が安全であるかどうかに関するものであり、使用されているツールのいずれかによって安全性が低下するかどうかに関するものではありません。

幸いなことに、Information Security Stack Exchange には、 TLSアプリケーションの保護にどのように役立つかについての詳細な説明が記載されています。

ただし、Django サイトを保護することに関してdjango-sslifyは、良いスタートですが、セキュリティの問題を魔法のように解決できるわけではありません。可能であれば、安全でない応答を提供しないことをお勧めします。これは、API ホスト (api.github.com一例) ではうまく機能しますが、API がフロントエンド アプリケーションと同じドメインでホストされている場合はそうではありません。djang-secure (一部はDjango 1.8 に統合されています) など、推奨される他の Django アプリが利用可能です。

また、 Django のセキュリティに関する推奨事項に従い、新しいメジャー リリースで再確認する必要があります。「Django のビルトイン セキュリティは十分か」や、情報セキュリティ スタック交換に関するその他の多く 質問など、他にも参照できるリソースがあります。

于 2014-12-25T20:00:52.483 に答える