Sicherheits-überlegungen bei der Erstellung einer mobile-app mit PhoneGap

Ich bin ein Anfänger in der Erstellung von mobile apps mit phonegap. Ich habe einige Zweifel auf Sicherheits-Aspekte bei der Erstellung einer mobile-app mit phonegap.

  1. Ich möchte eine app erstellen, die den Zugriff auf einen Web-service, z.B. einen REST service erstellt mit Jersey. Jetzt bin ich richtig in der Annahme, dass ein hacker kann leicht sehen, die security-Tasten/Authentifizierungs-Mechanismus verwendet, der client authentifiziert (über eine mobile-app) mit dem server (wo die REST-API verwendet werden soll)?

  2. In der Regel, kann ein hacker leicht Zugriff auf alle Daten, die gesendet werden von der mobile app (die erstellt wurde, mithilfe von phonegap)?

  3. Kann ein hacker zerlegen einer phonegap-app erhalten Sie original-code? Nicht er, der native code (z.B. Objective-C bei ios)? Oder kann er dekompilieren, noch in original-phonegap-code (also html+js)? Wie kann ich verhindern, dass mein code wird dekompiliert? Ist dieses Szenario das gleiche wie für die meisten anderen Sprachen, d.h. Hacker mit leistungsfähigen PCs hacken kann in fast jedem Programm/software? Gibt es eine Möglichkeit dies zu verhindern?

InformationsquelleAutor Arvind | 2012-05-05
  1. 21

    Allright, zuerst nehmen Sie einen tiefen Atemzug. Sie sind wahrscheinlich nicht gehen, um, wie auch einige meiner Antworten, aber du wirst der sein Leben mit der gleichen Probleme, die wir alle sind.

    1. Das beste, was in diesem Fall zu tun ist, etwas zu verwenden, wie die Schlüsselanhänger plugin zum abrufen Ihrer Sicherheits-Schlüssel aus der native Seite.

    2. Können Sie nehmen PhoneGap in Frage, weil es gilt für jede situation, wo Sie senden Daten unverschlüsselt zwischen client und server. Jeder kann ganz leicht zu hören bei der Verwendung eine Reihe von tools, wie Wireshark oder Ethereal. Wenn Sie brauchen, um die Kommunikation mit einem Server, es sollte getan werden, auf eine verschlüsselte HTTPS-oder SSL-Verbindung.

    3. Ersten ich glaube, Sie sind unter dem falschen Eindruck, dass PhoneGap stellt die HTML - /JS-code in Obj-C nicht. Wenn der Benutzer dekomprimiert, Ihre app, werden Sie in der Lage zu Lesen, Ihre HTML - /JS. Auch, Sie werden in der Lage sein, zu dekompilieren, Ihre Obj-C-code als auch. Dies nicht einen leistungsstarken PC oder sogar ein erfahrener hacker. So ziemlich jeder kann es tun.

    Mein Rat an Sie ist, nicht darum kümmern. Legen Sie Ihre Zeit in die Schaffung einer wirklich tollen app. Die Leute, die dafür bezahlen, wird dafür bezahlen. Die Leute, die Sie zu dekompilieren, Sie würde niemals die app kaufen, egal was. Die mehr Zeit Sie nehmen, versuchen zur Bekämpfung der Hacker nimmt von der Zeit, die Sie verwenden können, um Ihre app mehr. Auch die meisten anti-hacking-Maßnahmen, die nur das Leben schwieriger für den eigentlichen Benutzer, also in der Tat, Sie sind kontraproduktiv.

    • ich habe ein paar Fragen an Sie - heutzutage gibt es eine Menge von öffentlichen REST APIs, OAuth verwenden, oder Amazon-Modell (AWS)- nicht diese ausreichend für mobile apps? (Mit ref auf deine Antwort, ich denke beide OAuth und Amazon-Modell verwenden HTTPS,...) Auch HTTPS ist nicht möglich, mit lokalen apps, da einige Funktionen von Phonegap benötigt lokale web-Seite nur???... Dank
    • OAuth funktioniert gut mit PhoneGap-apps. Gut, wenn alle Seiten lokal sind, dann gibt es keine Kommunikation mit der Außenwelt Arbeit und damit nichts für Hacker zu schnüffeln.
    • Herr MacDonald ' s Antwort, die zwar gut gemeint sind, nicht berücksichtigt, für die Entwickler, die sich über app-Dekomprimierung aus diesem Grund stattdessen: Andere Entwickler können Lesen Sie den code, Piraten, und verwenden Sie es, um die Entwicklung einer Konkurrenz-app. Das ist ein ernstes und berechtigtes Anliegen, und muss berücksichtigt werden, wenn über den Einsatz von PhoneGap.
    • Oh, du hast eben nicht "Mr. MacDonald" mich? Nur ein Scherz. Sicher, das ist ein legitimes Anliegen, aber es ist nicht nur PhoneGap oder hybrid-apps. Ich kann eine native Android-oder iOS-app und dekompilieren und Lesen Sie Ihren code so einfach wie kann ich mit hybrid-apps. Also ich glaube nicht, dass ist ein guter Grund, um auszuschließen, PhoneGap, wenn Sie bestimmen, welche Technologien zum Einsatz beim Bau von mobile apps.
    • Es gibt viele Werkzeuge zur Verfügung, um verschleiern von code. Es läuft auf die apk-Datei, wenn ich bin nicht falsch.
    InformationsquelleAutor Simon MacDonald
Schreibe einen Kommentar