una uber recursos programas programacion por para moviles movil hacer gratis desde cuesta cuanto crear cotizacion como cobran cero app aplicaciones android security mobile

android - uber - Práctica recomendada: ¿Cómo aseguro Http-Requests(por ejemplo, inicio de sesión) desde una aplicación móvil?



programas para crear aplicaciones moviles (1)

Usar una clave compartida en la aplicación que será compartida por todos los clientes definitivamente no es una solución.

En realidad, siempre puedes implementar tu propio protocolo seguro (usando crypto asimétrico, ...) o usando otro protocolo (RPC seguro, IPsec, ...) pero en realidad SSL es una solución mucho más ligera (tanto el protocolo como las implementaciones) para un tal uso. Además, como es muy común, es realmente fácil (= barato) de implementar y las implementaciones actuales son seguras y optimizadas para el rendimiento.

Tenemos una aplicación web que proporciona un simple "Generic Http-Handler" (ASP.NET) para proporcionar una manera fácil de obtener una sesión para una aplicación móvil.
Atm, todo el concepto / aplicación está en un estado de demostración / alfa / prueba, así que no tires las manos de horror ... :)

Me di cuenta de que hay varios problemas de seguridad:

  • Si el dispositivo móvil está conectado a WLAN (ya que la rutina de rastreo necesaria es bastante fácil), simplemente puede oler la Solicitud (para obtener el valor de nombre de usuario / contraseña) y / o Respuesta (para reutilizar la sesión en otro lugar)
  • Podríamos agregar algo de cifrado / descifrado, pero como estamos en Android, cualquiera puede descomprimir el .apk .apk y hacer ingeniería inversa para obtener la clave compartida (y sal).
  • Podríamos usar https: // ... pero ... estoy interesado si hay otra manera ... Otra razón por la cual no elegir SSL: no tenemos una sola aplicación web, así que ... cuantas más aplicaciones, más costoso será ... y, como es típico de las compañías, queremos ahorrar dinero :)

Algunos nodos laterales:
Como planeamos brindarles a nuestros clientes la posibilidad de acceder a nuestra aplicación web (el controlador es solo una parte) con una aplicación móvil, no me importa publicarlo en el mercado ... Pero tal vez esto cambie. . Entonces, el plan no incluye un "regalo público" de .apk .

Ya investigué sobre el tema "Cómo adaptar la respuesta, de modo que solo la aplicación móvil pueda usarla efectivamente" (por ejemplo, ¿cómo puedo asegurar un servicio web .NET para que lo use una aplicación de iPhone? ).

Creo que este debe ser un problema más general, que no solo es algo en lo que pensar si estás en android / co ... Así que "Best Practice" no solo se puede limitar a Android (tendrías el mismo escenario en el iphone o winforms también): se trata más de: cómo tratar con un componente remoto para ejecutar funciones vitales (por ejemplo, inicio de sesión, acceso a bases de datos, ...)