Im包裝我的iPhone應用程序。我只是擔心我們的Web服務器級別的安全性。數據通過網絡服務被拉到iPhone應用程序。使Webservice安全
我可以把什麼安全措施放在Web服務上,這樣我就不會受到攻擊?
感謝
Im包裝我的iPhone應用程序。我只是擔心我們的Web服務器級別的安全性。數據通過網絡服務被拉到iPhone應用程序。使Webservice安全
我可以把什麼安全措施放在Web服務上,這樣我就不會受到攻擊?
感謝
幾個要點:
編輯:
看一看this question爲iPhone到.NET互操作性AES。
是否有標準加密?我的意思是在加密。在服務器的淨水平比在蘋果iphone水平上的xcode解密?希望這不是一個愚蠢的問題。 – Matt 2010-08-17 20:20:53
@Tricky - 基本上你必須看看。 AES是一個標準,所以iPhone應該能夠支持它。 – 2010-08-17 20:27:57
你可能會受到iPhone方面的限制。 – 2010-08-17 20:35:53
如果您不使用Web服務有效負載來實現身份驗證,則可以使用正常的HTTP身份驗證SSL保護您的服務。你也是服務器端程序員嗎?
如果您的WCF服務不安全,那麼您「插入」WCF服務並不重要。您必須假設攻擊者可以在沒有iPhone客戶端的情況下訪問您的Web服務。您的Web服務容易受到sql注入的影響嗎?您是否暴露了可能允許攻擊者讀取服務器上的文件或更改其他用戶帳戶的惡意功能?記住OWASP Injection flaws。使用HTTPS讓您的客戶免於泄漏信息。其餘的應該確保你公開的功能是安全的。
攻擊者將能夠找到您嘗試存儲在iPhone二進制文件或內存中的任何密鑰或密碼。攻擊者擁有比你更多的控制權,他可以入獄破壞設備,然後沒有地方隱藏。
我已添加iPhone標籤,以便有iPhone用戶體驗的人可以共享iPhone上允許的某些安全功能信息。 – 2010-08-17 22:55:16
@拉迪斯拉夫 - 這超出了問題的範圍。這是針對Web服務的。應該詢問關於iPhone安全功能的單獨問題。 – 2010-08-19 05:08:44
@凱爾:我不同意。如果你想編寫iPhone客戶端使用的Web服務,你必須知道哪些安全特性很容易適用於客戶端平臺。我可以輕鬆開發您無法在iPhone上使用的安全服務。另外,我也看到很多針對iPhone上使用WS-Security服務的問題。 – 2010-08-19 07:27:47