Worklightは要求と応答のパラメータを処理するための安全なメカニズムを提供していますか？

Question

IBM Worklight Studioを使用しています。6.1.0.02-20160314-1430

ハイブリッドアプリケーションです。

アプリケーションとアプリケーション間のリクエストとレスポンスのデータは、アプリケーションで検査（ネットワーク - >クエリ）すると明らかに表示されます。チャールズのようなサードパーティのツールを使ってワークライトアプリを中断することで、リクエストやレスポンスのパラメータを編集することも可能です。アプリケーションでSSLピンニングを実装しましたが、オンラインで既に利用可能なツールが多く存在するため、SSLのピン設定も破損する可能性があります。 Worklightは、アダプタとアプリケーション間で通信している要求パラメータと応答パラメータの暗号化解読メカニズムを提供しています。

現在のところ、リクエスト側のパラメータに対して、アダプタ側でカスタム暗号化を追加し、カスタム暗号化を追加しようとしました。これは、私のアプリが何百もの手順を持つので、非常に退屈なプロセスです。私が実装できる集中セキュリティを教えてください。そうすれば、たとえ誰かが検査しても、アプリケーションとワークライトサーバーの間で要求と応答が表示されないようにする必要があります。

Answer 1

チャールズなどのプロキシ経由でトラフィックをリダイレクトすると、平文での通信が期待されます。このシナリオでは、Charlesによって発行された証明書を受け入れて設定を構成し、Charlesを介して直接通信するようにアプリケーションを変更します。進行中のSSLトラフィックを盗聴しようとすると、プレーンテキストでデータが表示されません。

つまり、証明書のピニング機能は、MFP 7.1以降で使用可能です。証明書のピン割り当ては、サーバーへのコールを行う前に行われます。したがって、すべての通信を保護することができます。 すでに、クライアントでパラメータを暗号化し、後でサーバーで復号化するという別のアプローチを採用したようです。多数のアダプター呼び出しがある場合、暗号化されたコンテンツを生成する単一のメソッドを持つことができ、すべてのアダプター呼び出しパラメーターをこれを通過させることができます。