Nota: sto postando questo per un mio amico che non parla inglese molto bene ... Beh, non sono così bravo anch'io, quindi scusami in anticipo!
Il mio amico sta sviluppando un'applicazione per smartphone e vorrebbe avere qualche consiglio per proteggere gli ID del database.
L'unica idea che abbiamo ottenuto finora è:
- Tutte le comunicazioni vengono eseguite utilizzando la crittografia asimmetrica (chiave privata sul server)
- Le credenziali vengono archiviate, crittografate, sul lato client e la chiave di decrittografia è memorizzata sul lato server
Quando l'applicazione deve utilizzare le credenziali, chiede al server la chiave di decrittografia.
Sarebbe sicuro?
Non avremmo bisogno di autenticare il client? Immagino che se non lo facessimo, sarebbe come inviare la chiave di decodifica come testo semplice.