Einen Webservice sichern

9

Ich verpacke meine iPhone App. Ich bin nur besorgt über die Sicherheit auf unserer Webserver-Ebene. Die Daten werden über Web-Services in die iphone App übernommen.

Welche Sicherheitsmaßnahmen kann ich den Webdiensten auferlegen, damit ich nicht gefährdet bin?

Danke

    
Matt 17.08.2010, 20:01
quelle

3 Antworten

4

Einige Hinweise:

  • Überprüfen Sie alle Anforderungen des Web-Service mithilfe von von RSA signiertem XML
  • Stellen Sie sicher, dass alles über SSL übertragen wird
  • Verschlüsseln Sie den gesamten Datenverkehr. Ich empfehle, das DUKPT Schlüsselverwaltungssystem zu konsultieren, mit AES Verschlüsselung.
  • Benutze WCF - Es ist der neueste Standard (auch dies )
  • Verwenden Sie eine Art von Web-Service-Authentifizierung. Dies kann so einfach sein wie jede Anfrage, die einen Benutzernamen und ein Passwort benötigt, um gültig zu sein. Dadurch werden direkte Anrufversuche verlangsamt. Wenn Sie die Verschlüsselung richtig eingerichtet haben, müssen Sie die Benutzernamen und Kennwörter nicht einfach in XML ausgeben.
  • Das Wichtigste ist, dass der Server selbst sicher ist. Wenn jemand den Server knackt, bist du tot im Wasser, vergiss was du sonst tust.

BEARBEITEN:

Sehen Sie sich diese Frage für die Interoperabilität von iPhone mit .NET AES an .

    
Kyle Rozendo 17.08.2010, 20:03
quelle
1

Sie können Ihre Dienste mit normalem HTTP Auth, SSL sichern, wenn Sie die Webdienst-Nutzlast nicht zur Implementierung der Authentifizierung verwenden. Sind Sie auch der serverseitige Programmierer?

    
Robin 17.08.2010 20:08
quelle
0

Es spielt keine Rolle, wie Sie den WCF-Dienst "anlegen", wenn Ihr WCF-Dienst unsicher ist. Sie müssen davon ausgehen, dass ein Angreifer ohne den iPhone-Client auf Ihren Web-Service zugreifen kann. Ist Ihr Webservice anfällig für SQL-Injection? Stellen Sie bösartige Funktionen auf, die es einem Angreifer ermöglichen, Dateien auf Ihrem Server zu lesen oder ein anderes Benutzerkonto zu ändern? Behalten Sie OWASP Injektionsfehler im Hinterkopf. Verwenden Sie HTTPS, um Ihre Clients vor dem Überspringen von Informationen zu schützen. Der Rest sollte sicherstellen, dass die von Ihnen zur Verfügung gestellte Funktionalität sicher ist.

Ein Angreifer kann jeden geheimen Schlüssel oder jedes Passwort finden, das Sie versuchen, in Ihrem iPhone-Binärcode oder im Speicher zu speichern. Der Angreifer hat mehr Kontrolle über das iPhone als Sie, er kann das Gerät kaputt machen und dann gibt es keinen Platz zum Verstecken.

    
rook 17.08.2010 23:46
quelle

Tags und Links