9
Im包装我的iPhone应用程序。我只是担心我们的Web服务器级别的安全性。数据通过网络服务被拉到iPhone应用程序。使Webservice安全
我可以把什么安全措施放在Web服务上,这样我就不会受到攻击?
感谢
A
回答
4
几个要点:
- 使用RSA signed XML
- 确保一切都在传递SSL
- 加密所有数据流量验证从Web Service的所有请求。我建议查看DUKPT密钥管理系统,使用AES加密。
- 使用WCF - 这是最新的标准(也是this)
- 使用某种Web服务身份验证。这可以像每个需要用户名和密码的请求一样简单。这会减慢直接呼叫尝试的速度,并且如果您获得了正确的加密权限,则不必使用纯XML格式的用户名和密码。
- 最重要的是确保服务器本身是安全的。如果有人破解了服务器,那么你死在水中,而不会意识到你做了什么。
编辑:
看一看this question为iPhone到.NET互操作性AES。
+0
是否有标准加密?我的意思是在加密。在服务器的净水平比在苹果iphone水平上的xcode解密?希望这不是一个愚蠢的问题。 – Matt 2010-08-17 20:20:53
+0
@Tricky - 基本上你必须看看。 AES是一个标准,所以iPhone应该能够支持它。 – 2010-08-17 20:27:57
+0
你可能会受到iPhone方面的限制。 – 2010-08-17 20:35:53
1
如果您不使用Web服务有效负载来实现身份验证,则可以使用正常的HTTP身份验证SSL保护您的服务。你也是服务器端程序员吗?
0
如果您的WCF服务不安全,那么您“插入”WCF服务并不重要。您必须假设攻击者可以在没有iPhone客户端的情况下访问您的Web服务。您的Web服务容易受到sql注入的影响吗?您是否暴露了可能允许攻击者读取服务器上的文件或更改其他用户帐户的恶意功能?记住OWASP Injection flaws。使用HTTPS让您的客户免于泄漏信息。其余的应该确保你公开的功能是安全的。
攻击者将能够找到您尝试存储在iPhone二进制文件或内存中的任何密钥或密码。攻击者拥有比你更多的控制权,他可以入狱破坏设备,然后没有地方隐藏。
相关问题
- 1. WCF WebService安全性:如何在WebService上使用安全性?
- 2. Webservice安全
- 3. 安全Webservice?
- 4. Java WebService安全
- 5. Webservice安全问题
- 6. GoogleAppEngine Java WebService安全
- 7. Android PHP Webservice安全
- 8. ASP.NET webservice API安全
- 9. json webservice安全性
- 10. 基于SOAP的WebService安全
- 11. 访问安全的“HTTPS”webservice - WP 7
- 12. WebService成员变量和线程安全
- 13. Webservice安全性 - 什么是足够的?
- 14. 如何确保Webservice的安全性?
- 15. 高兼容性的安全WCF Webservice
- 16. 在Java中安全的webservice调用
- 17. 在webservice中实现安全性
- 18. Sencha Touch - 调用webservice的安全问题
- 19. Axis Webservice标题安全密码文本
- 20. 使用.Net 3.5和VS 2008使用安全的WSE2.0/.Net 1.1 WebService
- 21. 如何安全地使用FB.Event.Subscribe来调用webservice
- 22. .NET WebService安全性谁可以看到并使用
- 23. 如果使用安全的webservice,我需要SSL证书吗?
- 24. 使用Spring Security的Spring RESTFul Webservice安全客户端调用
- 25. 在通过MQ进行安全调用之后无法调用安全的webservice
- 26. CakePHP:使用安全:: allowedControllers和安全:: allowedActions
- 27. 使“不安全”代码块“安全”
- 28. 安全地将.NET 1.1 webservice切换到WCF?
- 29. Spring安全oauth2:在REST webservice中获取用户名
- 30. 如何配置datacontrol来访问安全的webservice?
我已添加iPhone标签,以便有iPhone用户体验的人可以共享iPhone上允许的某些安全功能信息。 – 2010-08-17 22:55:16
@拉迪斯拉夫 - 这超出了问题的范围。这是针对Web服务的。应该询问关于iPhone安全功能的单独问题。 – 2010-08-19 05:08:44
@凯尔:我不同意。如果你想编写iPhone客户端使用的Web服务,你必须知道哪些安全特性很容易适用于客户端平台。我可以轻松开发您无法在iPhone上使用的安全服务。另外,我也看到很多针对iPhone上使用WS-Security服务的问题。 – 2010-08-19 07:27:47