我要为Android和IOS创建类似于facebook的社交媒体应用程序。我有登录表单,用户需要提供他们的uname和密码。我的服务器团队正在处理web服务。什么样的安全性应该使用Android和IOS创建像facebook一样的应用程序
如何保护远程的uname和pwd,即从移动到web服务的转移。(我有使用AES加密算法的想法)
如何保持web服务URL安全内部应用(包括Android和iOS)
哪些缺陷可能发生而创建这些类型的应用程序,以及如何限制我们的应用程序从黑客?
什么是安全的步骤服务器团队需要实现(因为他们会用PHP编写服务器)。
在此先感谢?
将密码保存在钥匙串(iOS)中。
使用SSL与服务器通信,使用POST作为用户名/密码,固定证书。
webservice的URL是公开的,任何拥有网络嗅探器的人都可以看到它。
主要的黑客将对服务器。越狱可以危害应用程序。钥匙链对越狱非常免疫。
服务器的主要问题是他们如何处理用户的个人信息和密码。不要保存密码,只是一个很好的SHA哈希值。
从多个角度定义您所保护的数据的价值:用户的视角,对您的价值,您的声誉以及对攻击者的价值。然后将安全性设计为所有视角的最高级别。请记住,高安全性可能会给用户带来痛苦。找到一个平衡点。
如果您关心安全性,只有一个答案:安全设计并由安全域专家审查。我总是有我的设计和代码审查。这样的领域专家将在这方面拥有数年的全职安全经验,并可能获得CISSP等证书。任何不足之处都只是一个“不错的尝试”。
安全漏洞与普通的代码漏洞不同。一个普通的应用程序可能有很多烦人的bug,但仍然可用,甚至是一个好的应用程序。一个安全漏洞并没有安全性,一个安全漏洞是所有攻击者需要的。
感谢您的回答。 – Ruban