Cari esperti di sicurezza (di cui non sono),
I tuoi pensieri e amp; suggerimenti per l'architettura di un'applicazione per un'applicazione web mobile ( ad esempio, HTML5 con Sencha Touch) sono invitati & ha accolto con favore.
Fino a che punto l'uso delle code ( eg, SQS di Amazon AWS) aumenta / diminuisce / non ha alcun effetto sulla sicurezza delle app Web mobili?
Cosa ne pensi di questo approccio?
-
Un utente (ad esempio su un iPhone o Droid) utilizza il browser dello smartphone ( eg, Mobile Safari su iPhone) per accedere a un'applicazione Web mobile tramite SSL.
-
L'applicazione sul lato server dell'URL non ha praticamente alcuna elaborazione ... tranne per accettare i messaggi JSON dalla MWA (Mobile Web App) ... INSERIRE quei messaggi in una coda (AWS SQS) .. .monitor una seconda coda AWS SQS per un messaggio risultante ... che l'app lato server in pratica restituisce solo al MWA.
-
Il lavoro "reale" dell'App è fatto ... su ancora-un altro server che sta prendendo i messaggi dalla prima coda ... eseguendo tutta l'elaborazione ... formattando una risposta ... e PUSHING della risposta (un oggetto JSON) sulla seconda coda.
Il processo di riflessione è qui: i malintenzionati non possono accedere ai processi in esecuzione sul server facendo il lavoro "reale" ... che è anche il luogo in cui i database dell'applicazione verranno mantenuti.
PERCHÉ Non ho trovato questo approccio all'architettura dell'applicazione discusso in nessuno dei thread (almeno, non in una forma in cui riconosco l'architettura), mi chiedo se ci sono problemi noti (almeno, noto per i professionisti della sicurezza, come voi stessi) che rendono l'approccio poco attraente?
Che ne pensi? Questo approccio avrebbe impedito i cattivi? Ingenuamente cadere in un noto exploit cattivo ragazzo? Oppure ... che cosa?
Molti, molti grazie in anticipo per i tuoi commenti e suggerimenti!