2011-08-01 3 views
3

私は、アカウントにログインして残高を取り込むアップルのiOSアプリを書いています。これは、ログインのために通常のHTMLリンクを使用します。https-loginのセキュリティ?

https://www.myaccount.com/login.jsp?username=myusername&password=mypassword

ユーザ名とパスワードは、実行時に動的ログインリンクにロードされます。

私はWiresharkを使用してトラフィックを盗聴し、送信されたパッケージの中でユーザー名またはパスワードを見つけることができませんでした。私は "https"のSSL(?)のものがクエリを暗号化していると思います。

私は正しいですか?これは安全な方法ですか?他の考え?セキュリティ上の問題を避けるために、アプリでパスワードをどのように処理する必要がありますか?それはキャッシュされていますか?アプリでパスワードを覚えておきたい場合は、そのパスワードを暗号化する必要がありますか?

答えて

1

これは、要求が暗号化されたHTTPSチャネルを介して送信されるため、盗聴できないという意味で安全です。ただし、ブラウザのアドレスバーに表示され、場合によってはサーバーのログファイルにも表示されます。

より安全な方法は、ユーザー名とパスワードをJSPページにPOSTしてURLに表示されないようにすることです。

+0

うーん、私はアドレスバーを持っていないので、それは大丈夫だと思いますか? NSURL * url = [NSURL URLWithString:@ "https://www.myaccount.com/login.jsp?username=myusername&password=mypassword"]; \t NSError * error; \t NSStringの* loginPage = [NSStringのstringWithContentsOfURL:URL \t \t \t \t \t \t \t \tエンコーディング:NSASCIIStringEncoding \t \t \t \t \t \t \t \t \t \t \tエラー:&エラー]。 – user872661

5

Sjoerdが指摘しているように技術的には安全ですが、これは社会工学のためにはというだけでです。インターネットカフェでは:「ダンミット、それはクールな記事です。本当に素早くURLをメールで送れますか?」

あなたはこの種のものにどれくらいの人が倒れるかは信じられません。

ブラウザではURLをキャッシュする傾向があり、複数のユーザーが同じマシンにアクセスする状況では非常に危険です。

もっと良い方法は、HTTP Basic Authenticationまたは少なくともHTTPを使用してデータを送信することです。

+0

+1 - URLをキャッシュするブラウザについての素晴らしい点 – helios

関連する問題