私のアプリケーションのすべての画面は、私のサーバーから来るデータから構成されています。 このサーバーは、JSONを含む1つの文字列を単純に返すWSDLに基づいて、さまざまな種類のWebサービスを公開しています。サーバー上でWebサービスを呼び出すときにセキュリティを使用する最も良い方法
今、私はこのサーバーをオンラインにしたい段階に達しており、その周りのセキュリティ面に懸念しています。
最良のアプローチは何ですか?モバイルアプリとサーバー間のデータは厳密には敏感ではありませんが、ウェブ上ですべて公開する必要はありません。
SSLチャネルを確立するだけで十分ですか?私はセキュリティがデータの送受信に関してアプリケーションのパフォーマンスにどのように影響するかについても懸念しています。
私が従うべきベストプラクティス文書はありますか?
みんなありがとう、 フェリペ
は、あなたの質問は、あなたが探している「セキュリティ」の具体的な種類を指定しません!
「Data in Motion」絶対ベスト・ベットはSSLです。
SSLを攻撃する主な方法はいくつかあります。
最初に、自分のドメインに独自の証明書を発行することができる中間サーバーセットアップの人がいる場合です。これにより、クライアントは自分のサーバーが本当のものだと思うでしょう。一方、サーバーはパケットを取得し、復号化し、データを格納し、実際のSSL証明書を使用して再暗号化し、サーバーに送信します。いくつかのSSL証明書会社は最近、これを行った証明書を提供して逮捕されました。しかし、これを設定する際の費用は、本当に価値の高いターゲットがほしいということを意味します。
2つ目は、サーバーとデバイス自体のいずれかにアプリがインストールされていて、アプリとネットワークAPIの間に自分自身を挿入できるものがある場合です。ここでのアイデアは、復号化後または暗号化前のいずれかでデータをキャプチャできるということです。 Androidなどのデバイスには既にこの種類のソフトウェアがインストールされているようですが、の場合はのみがネットワーク関連の問題のデバッグに使用されます。
ポイントは、SSL証明書を取得し、インストールして、他のことについて心配です。
あなたの答えをありがとう! –
ありがとう、Shivam。それは理にかなっている。 –