what the how iphone android security login udid

iphone - the - ¿Cómo hacer un inicio de sesión seguro usando UDID o token de dispositivo?



what is the udid of my iphone (2)

Así que estoy creando una aplicación en la que deseo que los usuarios puedan agregar, editar y clasificar contenido, pero no quiero obligarlos a registrarse. En su lugar, estaba planeando solo usar su identificación de dispositivo o token de dispositivo para identificarlos. Estoy planeando hacer una versión para iPhone y Android, así que estoy buscando una solución general, pero la versión para iPhone tiene mayor prioridad, por lo que una solución específica para iPhone también sería bienvenida.

El problema es que no quiero que nadie pueda usar mi servicio web enviando una identificación de dispositivo falsa o la identificación de dispositivo de otra persona.

¿Cómo demostraría el cliente al servidor que proporciona la identificación correcta del dispositivo?


No soy un experto en Android, pero el código IMEI creo que es único para el dispositivo. Aunque no sé cómo puedes leerlo y transmitirlo.


En teoría, no puedes. Una ID de dispositivo no es particularmente secreta, y en la mayoría de los casos, puede ser fácilmente falsificada. En cuanto a Android, no hay ningún ID de dispositivo confiable en ese sistema operativo: consulte los detalles sangrientos aquí: ¿existe una ID de dispositivo Android única?

En lo único que puede confiar es en la seguridad por oscuridad, con la esperanza de que nadie esté lo suficientemente determinado para realizar una ingeniería inversa del código y analizar el protocolo de autenticación. Y no divulgar el código no es una opción: después de todo, estás distribuyendo la aplicación.

Dicho esto, un método de autenticación no particularmente seguro sería enviar la identificación del dispositivo y un hash del ID del dispositivo concatenado con un código secreto codificado en la cadena del código del cliente. El servicio contendría una copia de la misma cadena, recalcular el hash (usando la identificación del dispositivo provista) y hacer coincidir los hashes. No es rompible por análisis de protocolo, solo al cavar en el código de la cadena. Vulnerable para reproducir ataques sin embargo.

Para una solución más sólida, autentique usuarios, no dispositivos. Esto depende de sus clientes, y depende de la naturaleza del negocio.