Android HttpWebConnectionセキュリティ

Question

私はAndroidプラットフォーム用のアプリケーションに取り組んでいます。アプリケーションは、私のWebサーバーに大量のHTTPコールを使用します。これはうまく動作しますが、私の電話とWebサーバーのセキュリティを確保するための支援が必要です。

私はクライアント側とサーバ側の両方の接続を暗号化するためにHttpsを通じてSSLを使用できることを知っていますが、これは問題ではなく、アプリケーションを起動するときには必ず行われます。しかし、最も安全な方法は、ログインしたデバイスのセッションを持つことですか？ sessKey - - sessCont - sessUid - sessTime

sessKeyは、ランダムに生成32ビットの鍵となる

アイブ

ID次の行を含むのMySQLベースのセッションシステムを作る考えました。 sessCont保存された情報のJSON配列を取得し、sessUidはサインオンしたユーザーのユーザーIDになります。 sessTimeにはタイムスタンプが含まれます。

このセッションはログイン時に設定され、電話機はsessKey + sessIdを受け取ります。電話をかけるときにキーが変更され、再び電話機に戻されます。最新の通話より10分遅れている場合は、セッションが終了し、新しい通話が必要になります。

しかし、私はこのアプローチを妥協する方法を続けているだけでなく、私が考えることができる他のすべての承認と一緒にすることができます。

どのように私のサーバーサイドのスクリプトに電話からの最高のセキュリティとセッション制御を行うことができますか？

ありがとうございます。 ジョナス

Answer 1

よし番号付きリストの時間...

1. あなたは、セキュリティのかなりの部分は、あなたの側にすでにあるSSL接続を使用している場合。あなたは、脆弱性リストを横取りすることができます。
2. 残りの脆弱性のほとんどはユーザーの側にあります。ハッカーはユーザーのハードウェアを監視し、ユーザーのハードウェアに転送された後にセッション情報を取得できます。アプリデータは他のアプリから保護されているため、開発者やユーザーが無防備に何かをしていない限り、安全でなければなりません。
3. 私は＃3につながり、セキュリティの残りの部分はすべて実際に開発者としてあなたの膝の上に着きます。クロスサイトスクリプティング（XSS）を使用している場合、セッションIDは簡単に推測できます。あるいはセッション固定の脆弱性があるか、セッションIDストレージが弱い（SQLインジェクション？）場合は、セキュリティのあらゆる他の尺度と一緒に行った。

最後にシステムをハックする方法はありますが、この3つの手順に従えば、ハッカーを防ぐためにできることはすべて実行しています。残りの部分は残念ながら私たちが触れることのできない部分にあります。 Androidオペレーティングシステム、携帯電話ネットワーク、ユーザーの常識。

P.S.最も安全な方法は、おそらくセッションのアイデアをゴミ箱にすることです。ユーザーID（何かを意味する数字）と、パスワードのmd5暗号化バージョンを格納します。ハッカーが一般的なパスワードの逆を調べることができないように、何かをファンキーなものに追加してください。 （IEのtheirPassword + userid + HACKTHISSUCKERS）、誰かがmd5リバーサに行くとしてもあなたのハッシュを取り消すことはできません。そしてあなたのサーバーにリクエストをするたびに、SSL経由でそれを行い、認証がチェックアウトされたら情報を送信します。セキュアなSSL接続、セキュアなmd5パスハッシュ、セキュリティリークなし。

ハッカーがアプリがあなたのサーバーに送信していた情報が何とか見つかったとしても、数字と解読不能ハッシュあなたのアプリが送信していたものを見つけることができる唯一の方法は、ユーザーが過失していて、SSL接続経由で送信される前にPOSTデータを実際に傍受できるハッカーのハードウェアに電話を接続できるようにすることでした。