Mobile, servizi Web e SSL

Naviga le tue risposte
1

Ho appena iniziato ad immergere i miei piedi in sicurezza e SSL. Ho guardato vari video per cercare di capire come avviene la magia e ora ho un'idea generale, ma la maggior parte di essi si occupa di esso prendendo l'esempio del browser e del server. Per quanto riguarda i dispositivi mobili, non ho trovato molti dati.

Presumo che le domande siano stupide per i veterani, ma eccole comunque:

  • Se ottengo un certificato SSL per il server Web su cui sono ospitati i miei servizi Web, devo modificare il codice della mia app mobile? Oltre a utilizzare HTTPS anziché HTTP durante la chiamata al servizio.

  • Se la teoria è la stessa di un browser, come vengono crittografati i dati? Intendo chi lo sta facendo? I browser lo fanno mentre accedono a un sito Web sicuro. Ma nel caso della mia app, il telefono lo farà?

posta doodla 20.10.2014 - 12:34
fonte

1 risposta

1

In generale, no, non dovrai fare altro che modificare il protocollo (http a https) per crittografare il traffico dell'applicazione. La maggior parte delle librerie client web supporta entrambi i protocolli in modo trasparente.

Altre cose da considerare come sviluppatore di applicazioni mobili:

  1. Non disabilitare le routine di convalida dei certificati, né rilevare e scartare gli errori. Questo è sfortunatamente comune nelle applicazioni mobili e distrugge completamente i vantaggi di sicurezza dell'utilizzo di SSL / TLS in primo luogo consentendo a MitM di acquisire e decrittografare il traffico senza alcun preavviso all'utente.

  2. Considera il blocco dei certificati. Ciò richiede un lavoro extra da parte tua, ma migliora la sicurezza assicurando che non solo il certificato utilizzato per proteggere il traffico degli utenti sia un certificato valido, ma è il tuo certificato, il certificato specifico che ti aspetti loro da usare. Questa è una misura di sicurezza aggiuntiva che può o non può essere giustificata, dipende da cosa stai proteggendo, ma vale la pena dare un'occhiata.

risposta data 21.10.2014 - 19:36
fonte

Leggi altre domande sui tag

Quanto è sicuro l'autenticazione a due fattori (TOTP)? questo schema di crittografia dei dati è valido?