iPhone - disconnettendo l'utente quando l'app entra in background

Question

iPhone - disconnettendo l'utente quando l'app entra in background

#1 da (3 voti)
#2 da (1 voti)

4

La nostra app mobile (finanziaria / bancaria) richiede all'utente di inserire nome utente / password per ottenere dati tramite chiamate al servizio web. Una volta che l'utente ha effettuato l'accesso, le credenziali vengono memorizzate nella variabile globale fino alla disconnessione dell'utente. Se l'applicazione viene inviata allo sfondo (messaggio di testo, chiamata telefonica, ecc.), Avremmo avviato un timer e disconnesso l'utente se l'app non si fosse riattivata dopo un intervallo di tempo specificato.

Uno dei nostri clienti ci ha detto che questo non è sicuro e ci sta chiedendo di cambiare questo comportamento e di disconnettere immediatamente l'utente se l'applicazione va in background. Non volevano rivelare il motivo per cui pensano che il nostro approccio sia insicuro e ci chiediamo se ciò che stiamo facendo sia davvero insicuro e perché, o se siano solo eccessivamente paranoici.

mobile password-management

posta Miles 14.05.2012 - 16:47

fonte

2 risposte

Leggi altre domande sui tag mobile password-management

Security Architect come percorso di carriera. Come lo faccio? Recupera cartella crittografata EFS dopo aver cancellato la partizione di sistema

score 3 · Answer 1

Impossibile dire quale sia il loro problema senza una copia della propria analisi dei rischi, ma ci vengono in mente tre possibilità:

Potrebbero essere preoccupati che un'app dannosa possa dirottare la sessione.
Potrebbero essere preoccupati che gli utenti ritengano erroneamente che l'app sia stata chiusa e che tutte le sessioni siano state interrotte durante lo sfondo.
Potrebbero essere preoccupati che se il telefono viene rubato c'è una finestra in cui è ancora possibile utilizzare l'app.

Non sono sicuro che alcuni siano un rischio particolarmente grande, ma ovviamente dipende dalla valutazione completa del rischio. Ad esempio, se la tua app sta lanciando bombe nucleari, non sono sicuro che il cliente possa essere troppo paranoico.

score 1 · Answer 2

Once user is logged in, credentials are stored in global variable until user logs out

Non dovresti mai memorizzare nome utente e password ovunque nell'applicazione. È consigliabile inviare le credenziali su HTTPS a un server e mantenere una sessione utilizzando un ID di sessione.

Quando l'app diventa di sfondo, termina la sessione. Tuttavia, quando l'app viene spostata in primo piano, dovrebbe chiedere nuovamente le credenziali. Questi sono standard di codifica sicuri.