Protezione del servizio Web dallo spoofing della risposta?

0

Sono nella fase di pianificazione della mia domanda. L'app funziona in questo modo

  1. Utente acquista app.
  2. Creiamo l'utente e l'account e aggiungiamo 100 crediti.
  3. L'utente invia una richiesta per utilizzare uno dei servizi forniti dall'app.
  4. Il servizio Web verifica se l'utente ha abbastanza crediti e invia una risposta "sì" o "no" all'utente

La sicurezza che coinvolge i crediti è abbastanza semplice, dal momento che controlliamo i crediti sul lato server, e la richiesta verrà inviata con l'id univoco degli utenti. La mia preoccupazione è che la risposta sia falsificata. Sono abbastanza nuovo per i servizi web, quindi potrei essere lontano. Ma non sarebbe possibile per un utente finale imitare il nostro webservice sul proprio localhost e fornire la risposta "sì" all'applicazione?

    
posta user1698144 05.01.2017 - 20:08
fonte

2 risposte

1

Sì, è possibile che qualcuno possa potenzialmente spoofare il tuo server su un client. Tuttavia, questo introduce solo un rischio per il cliente e non per il tuo servizio.

Dato che manterrai traccia del credito degli utenti sul server e simulerai l'autenticazione tramite il server, l'utente non può causare tu alcun problema.

Sicuramente, il peggio che potrebbe accadere è che qualcuno inserisca un servizio spoof su altri clienti per ottenere credenziali. Ma ci sono obiettivi molto più grandi e più facili - non qualcosa di cui ti dovresti preoccupare per molto tempo. In ogni caso, ridurrai questa preoccupazione utilizzando HTTPS con blocco del certificato in modo che il browser client sappia quando non si trova su un sito valido.

    
risposta data 05.01.2017 - 21:20
fonte
0

But wouldn't it be possible for an end-user to mimick our webservice on their localhost and provide the "yes" response to the application?

Sì. In realtà, non hanno nemmeno bisogno di imitarlo. Possono usare un proxy e modificare la risposta dal server mentre è in rotta e cambiarlo da un "no" a un "sì". Se hai un codice che non vuoi che l'utente usi a meno che non lo abbia pagato, allora non dovrebbe essere sul loro computer finché non lo hanno pagato. Conserva questo codice sul server ed eseguilo lì, o consenti all'utente di scaricarlo sul proprio computer dopo che hanno pagato.

    
risposta data 06.01.2017 - 04:13
fonte

Leggi altre domande sui tag