Ich verwalte die Entwicklung einer iPhone-App, die auf Web-Services basiert, um einen Katalogzugriff zu ermöglichen. Mein Hauptsicherheitsproblem besteht momentan darin, dass jemand auf meinen Webservice zugreift und meinen gesamten Katalog repliziert / scrappt (im Moment enthält er nichts proprietäres - aber das würde sich ändern).
Kurz gesagt, ich muss den Zugriff auf meine iPhone-App beschränken. Während die App in der Beta ist, könnte ich leicht die iPhone-Geräte-ID bekommen und sie auf nur die 5 Entwickler beschränken. Aber wenn die App online geht, möchte ich (und ich bin mir nicht sicher, ob ich rechtlich kann) Geräte-IDs zur Authentifizierung sammeln.
Ich habe versucht, den Zugriff durch die Benutzer-Client-Zeichenfolge zu beschränken - aber das kann gefälscht werden.
Mein nächster Schritt ist eine Art Passwortsatz - aber auch das kann geschnüffelt werden.
Irgendwelche anderen Ideen?
TIA,
Guy
Letztendlich geht es um die Authentifizierung. Ich denke, dass Sie sichere Kommunikation verwenden müssen - nämlich eine Art von zertifikatsbasierter Verschlüsselung mit einem Wert, der nur für die iPhone-Anwendung verfügbar ist.
Wenn die Auth gefälscht werden kann, hast du keinen Schutz dagegen.
Es gibt einige Informationen in dieser Frage: Best Security Framework zum Sichern und Authentifizieren einer iPhone App, die REST verwendet? oder hier
Ich habe eine ähnliche Lösung entwickelt und die Art und Weise, wie Sicherheit mit https-Zugriff auf dem Server und Benutzername Passwort-Authentifizierung angesprochen wird, um auf die API / den Webservice zuzugreifen.
Ich glaube, Sie können sich wohler fühlen, wenn Sie die Geräte-ID oder etwas anderes mit einem höheren Grad an Sicherheit einschränken, sobald Sie HTTPS implementiert haben.
Tags und Links iphone security web-services limit