Un'app mobile è più sicura per l'utilizzo mobile rispetto al sito web "normale"?

Naviga le tue risposte
9

Un utente finale inesperto che utilizza un browser Web mobile è vulnerabile al phishing e non può facilmente verificare l'autenticità (o sicurezza) di un sito web tra altri problemi . Inoltre, è molto semplice impedire anche a un utente esperto di rilevare MITM nascondendo l'icona HTTPS, sostituendolo con una favicon , o molti altri trucchi poiché molti browser nascondono completamente l'intero URL.

  1. È un'applicazione nativa (forse con certificato / cert root convalida ) davvero l'unico modo per raggiungere l'affidabile interazione sicura con i miei servizi back-end su HTTPS?

  2. Devo addestrare i miei utenti finali a non utilizzare un browser Web e utilizzare una "app" che è codificata per i miei URL e, facoltativamente, convalida di certificati aggiuntivi per ridurre il rischio MITM?

  3. Il mio server web dovrebbe arrivare fino al rilevamento di una sessione mobile e impedire l'autenticazione?

posta random65537 09.03.2012 - 16:32
fonte

4 risposte

3

No . non c'è assolutamente alcuna differenza.

Alla fine della giornata è necessario esporre l'ablity affinché i client possano richiedere informazioni e creare chagnes di stato. I problemi che un'API utilizzata da un dispositivo mobile è molto simile ai problemi di un'API utilizzata da un browser javascript / html.

Hai ancora problemi come riferimento agli oggetti diretti non sicuri e iniezione sql .

    
risposta data 10.03.2012 - 08:22
fonte
2

Un'app Web e un browser hanno entrambi lo stesso problema: un utente malintenzionato può sovvertire i dati inviati o ricevuti.

Non incoraggerei a forzare un utente a utilizzare un'app su un browser: lo prenderei nel modo sbagliato in cui un'azienda ha tentato di costringermi. Potrei non voler installare un'app, come parte della mia politica di sicurezza.

    
risposta data 09.03.2012 - 23:04
fonte
1

Se sei uno sviluppatore di siti Web che cerca di proteggere i tuoi utenti dal phishing, ci sono alcuni passaggi che puoi prendere.

Il passaggio chiave che vorrei fare è non fare affidamento su password . È possibile utilizzare, ad esempio, un cookie persistente sicuro, inviato tramite HTTPS, per autenticare l'utente. L'autenticazione CERT client SSL sarebbe un altro esempio di un metodo di autenticazione utente resistente agli attacchi di phishing perché non si basa sulle password. Se preferisci, puoi anche richiedere una password, ma non affidarti esclusivamente a una password inserita in un browser mobile. Ci sono due ragioni per questo: in primo luogo, le password sono identificabili e, come dici tu, i mazzi sono impilati contro gli utenti; e in secondo luogo, inserire le password in un dispositivo mobile è un'esperienza utente scadente, dato lo stato della maggior parte delle tastiere morbide.

Se sei un utente che cerca di proteggerti, c'è un diverso set di difese a tua disposizione, come l'uso di un'app dedicata, il lancio del sito da un segnalibro e quel genere di cose. Tuttavia, probabilmente non è possibile per gli operatori di siti Web aspettarsi di formare tutti i loro utenti a seguire questi passaggi.

    
risposta data 13.03.2012 - 23:39
fonte
0

Sì, in un certo senso, poiché un dispositivo mobile può proteggere un po 'di più le sessioni degli utenti.

cioè.

  • Nessun rischio di phishing, poiché l'app mobile si collega solo alla propria API.
  • Nessun problema interdominio (CSRF, attacchi SSL che richiedono richieste tra domini come POODLE o BREACH).
  • Se i controlli web non vengono utilizzati affatto, nessun rischio di XSS.
  • Problemi di Same Same Policy con i cookie (poiché i cookie HTTPS e HTTP hanno la stessa origine), quindi i cookie non possono essere avvelenati da un MITM su HTTP semplice (vedere questa risposta per maggiori dettagli).

Il lato negativo è che l'utente deve fidarsi di te un po 'di più in quanto sta installando un'applicazione completamente eseguibile sul suo dispositivo piuttosto che qualcosa come sandbox come una sessione web.

    
risposta data 19.02.2016 - 10:37
fonte

Leggi altre domande sui tag

Come impedire l'attraversamento della directory quando si uniscono i percorsi in node.js? In che modo YouTube è in grado di identificare gli utenti anonimi?