Come utilizzare in modo sicuro i contenuti Web lato client sul cellulare con comodità?

Naviga le tue risposte
0

Per un'implementazione del client di criptovaluta, sto servendo una webapp a singola pagina per i client mobili. È una pagina solo lato client.

Vorrei servire questa pagina ai clienti, ma temo che gli host manipolino il codice in modo tale da intercettare le password degli utenti. Le password, almeno 128 bit di entropia applicata, sono semi chiave per la firma di criptovaluta.

Purtroppo, e questo potrebbe essere errato, sembra che i browser mobili non possano aprire ed eseguire file html locali, o se possono, non possono eseguire file css o js.

Sono a conoscenza delle app che consentono questo, ma preferirei che sia l'ultima risorsa per raggiungere il meno esperto.

È l'unica opzione per gestire fisicamente un server per raggiungere la comodità desiderata?

    
posta 16.07.2014 - 23:15
fonte

2 risposte

1

Non capisci esattamente cosa stai cercando di difendere (vedi il mio commento sopra)

In ogni caso, se vuoi servire localmente html + css + js puoi usare Cordova per impacchettare la tua app web come app client. Quindi potresti anche caricarlo sul mercato. (Puoi anche utilizzare i controlli del browser Web del sistema operativo per implementarlo tu stesso invece di usare cordova)

L'altra alternativa è quella di ospitare i tuoi contenuti sul Web, probabilmente utilizzando PAAS come opzione di hosting preferita.

    
risposta data 17.07.2014 - 08:06
fonte
0

Ogni volta che c'è un problema di sicurezza - di solito è un problema di progettazione piuttosto che un problema di implementazione.

Sei preoccupato che i clienti possano rubare le password degli altri utenti manomettendo - localmente - con l'applicazione. Questo può essere possibile solo se stai dando loro libero accesso alle password. Come si autenticano? Come ruberebbero le password degli altri utenti?

Poiché ogni utente è locale e si preoccupa dei propri dati locali, non dovrebbe essere possibile manomettere l'applicazione per fare qualcosa di malevolo (se si hanno chiamate RESTful verso un server, per esempio, assicurarsi che ci siano alcuni livelli di autenticazione del server. Servono solo i dati ai client se i dati sono destinati ai clienti e non saranno mai in grado di manometterli.)

Tuttavia, sembra che al momento non operi alcun back-end o autenticazione del server, quindi posso solo presumere che tutti i dati generati siano stati eseguiti dall'utente - e a meno che non stia memorizzando un file localmente di tutti gli utenti / password (che comunque non sembra fattibile!), non avranno accesso ad altre password o dati.

Un altro modo di pensare a questo è che: se ogni client è isolato e non si connette a un server, non è autenticato (o non autenticato localmente), quindi non c'è nulla di cui preoccuparsi perché i client non possono mai accedere a gli altri clienti.

    
risposta data 17.07.2014 - 11:58
fonte

Leggi altre domande sui tag

Preparazione per le competizioni Blue Team [chiuso] Qual è la strategia utilizzata da iTunes Store e Google Play per proteggere e installare in sicurezza le applicazioni sui dispositivi idonei?