Come proteggere il sito web mobile dall'incapsulamento in un'app mobile nativa canaglia?

3

Stiamo sviluppando un'applicazione mobile (m.website.com).

C'è un modo per impedire a uno sviluppatore disonesto di creare un'app nativa IOS / Android che incapsuli semplicemente il nostro sito Web nell'app utilizzando Webkit per eseguire attacchi UI Redress o clickjacking?

(Sappiamo che l'intestazione HTTP "X-Frame-Options: Sameorigin" è efficace nello scenario di un sito Web malevolo che incapsula (frame) un altro sito Web, ma come prevenire l'incapsulamento da parte di un'app mobile nativa?)

    
posta MGagnon 08.12.2015 - 16:08
fonte

2 risposte

3

Un utente non può fidarsi di una pagina web che si trova all'interno di un'app di cui non si fida .

Pertanto, se ci fosse un attacco di riparazione UI contro il tuo sito web quando si utilizza una particolare app, allora sarebbe colpa dell'utente fidarsi dell'applicazione.

Inoltre, se uno sviluppatore di applicazioni voleva che gli utenti facessero clic su qualcosa sul tuo sito usando il telefono, allora lo avrebbero semplicemente codificato nella loro applicazione. Non avrebbero bisogno che l'utente lo faccia. I browser all'interno delle applicazioni utilizzano un diverso set di cookie rispetto al browser del telefono, pertanto ciò non influisce sulle sessioni esistenti dell'utente. Avrebbero dovuto accedere al tuo sito nella finestra del browser dell'applicazione e, a quel punto, un'applicazione rogue avrebbe potuto semplicemente raccogliere le credenziali comunque.

    
risposta data 09.12.2015 - 12:02
fonte
0

Correggere, impostando X-Frame-Options è una buona idea, ma hai fiducia nel browser per applicarlo. Non puoi difenderti da un browser non affidabile.

Ciò che ti rimane è sorvegliare gli app store per app che fingono di essere te.

    
risposta data 09.12.2015 - 14:51
fonte

Leggi altre domande sui tag