Limita l'accesso al back-end

3

Questa potrebbe essere una di quelle domande "non risponde" o "solo opinioni", ma ho pensato di dargli una possibilità.

Sto sviluppando un'app con informazioni sull'assistenza sanitaria con un amico che è un medico. Le basi delle app sono state fatte e le informazioni nel database si stanno configurando, quindi ora sono giunto alla domanda di wether e, in tal caso, dovrei limitare l'accesso a tali informazioni solo alla mia app. La domanda su se è una che posso rispondere, ma qualsiasi opinione è ben accetta. La domanda su come è dove ho bisogno del tuo aiuto.

L'app è scritta in Java su Android e il back-end in Django, quali sono i modi per limitare l'accesso al back-end in modo che altri script / app non possano accedervi? Una mia idea era che il telefono richiedesse un tasto API al primo avvio e lo legasse al numero IMIE che penso sia unico per ogni telefono, quindi tieni traccia di quelle tuple sul server. Noi (come in I) probabilmente lo porterò su iOS a un certo punto, quindi deve essere abbastanza multipiattaforma, ho pensato di legare agli account google invece del numero IMIE prima.

    
posta dutt 13.01.2013 - 09:36
fonte

1 risposta

2

Sebbene tu possa essere un modo per rendere più difficile la risposta generale è no (ciò che stai descrivendo è simile nell'idea al DRM). È necessario presumere che chiunque abbia l'applicazione sul proprio telefono sia in grado di eseguirne il reverse engineering e (per definizione) avere tutte le chiavi / password necessarie.

Ciò che puoi fare è limitare l'accesso a determinati account utilizzando l'autenticazione in modo simile stackexchange limita l'accesso al tuo account solo a te (ma non può restringerti alla singola applicazione - posso falsificare la richiesta di IE usando telnet ) . Quindi prova a controllare il back-end per l'utente ed essere pronto per l'input potenzialmente (potenzialmente) da parte dell'utente che ha provato un'altra applicazione.

Come ultime note:

  • vuoi collegarti per https , naturalmente.
  • controlla le normative relative alla gestione dei dati medici. Mentre IANAL e io non siamo mai stati nell'industria della medicina, so che in alcune giurisdizioni ci sono leggi in merito al trattamento di tali dati e se le procedure non vengono seguite (o il tuo amico) potrebbero essere in difficoltà anche se non accadrà nulla.
  • mentre lo spoofing dei numeri IMIE non è legale in molti punti è probabile che sia banale spoofarlo utilizzando Android VM. Anche IIRC IMIE è trasmesso attraverso la rete GSM, la cui crittografia è rotta per gli ultimi 20 anni circa (quindi si può presumere che sia trasmessa come testo in chiaro).
risposta data 13.01.2013 - 09:52
fonte

Leggi altre domande sui tag