Автор Тема: Сигурност между приложение и Уеб сайт  (Прочетена 416 пъти)

0 Потребители и 1 Гост преглежда(т) тази тема.

webfen

  • Newbie
  • *
  • Благодарности
  • -Казани: 13
  • -Получени: 0
  • Публикации: 25
Здравейте отново :)
Започнах да пиша приложение за IOS, което трябва да праща информация към базата данни на един сайт. Използвам Mysql . 
Тоест потребителите на въпросното приложение ще пращат снимки и информация към сървъра, където е сайта .
За текстовата информация ползвам HTTP POST REQUEST към сървъра . А отговор от сървъра към приложението получавам чрез JSON файлове.
Исках да попитам относно сигурността , има ли неща за които трябва да внимавам при комуникацията между сървър и приложение ?
Да допуснем че едно приложение стане популярно и се използва от много хора . Има ли неща от които трябва да внимавам и да се защитя ?
Не съм запознат точно в тая насока , а и на IOS все още се уча и приложението което правя е с учебна цел, но трябва да знам за рисковете .
REST API играе ли някаква роля  ? (не съм запознат с тази "функционалност" , виждам че IOS имат RestApiManager ) .
Моля ако има запознати хора тук или такива които знаят нещо , да споделят.
Благодаря ви отново :)
« Последна редакция: 03 Юни 2015, 00:30:36 от webfen »

Avalanche

  • Administrator
  • Hero Member
  • *****
  • Благодарности
  • -Казани: 65
  • -Получени: 268
  • Публикации: 2583
  • meow
Re: Сигурност между приложение и Уеб сайт
« Отговор #1 -: 03 Юни 2015, 20:09:28 »
REST е просто архитектура за създаване на API-та, съмнявам се да ти помага със сигурноста - ти му подаваш/искаш данни, то ги обработва.

По-добре потърси в мрежата, за твоята среда на разработка какви неща се ползват за най-честите атаки в уеб. Най-често говорим за XSS, SQL Injections, CSRF, криптиране на данни и пароли, проверка на качваните файлове, и други. SQL инжекциите ще ги отметнеш като ползваш prepared statements, няма как да няма за твоя стак. XSS и CSRF също не са голяма драма, но трябва да видиш конкретната имплемтация - нямам опит в iOS сферата. Криптирането на пароли е стандартно, забравяш за md5 и ползваш някакъв по-сложен алгоритъм, както към него salt (допълнителен произволен низ, който се криптира заедно паролата). Файловете не разчитай да ги проверяваш само по mime type, то даже това няма да ти помогне особено - задължително по extension (има скриптове, които могат да се "представят" за снимки или каквото там е разрешено) и по размер - това вече не го коментираме, ти си го определяш.

В сайтът имаме два урока на тази тема, може би ще искаш да ги прегледаш - Компютърна сигурност - Въведение от Keeper и Крос-сайт Скриптинг (XSS)
"Компютрите не правят каквото искаме, а каквото им кажем." Ако разбереш какво значи това няма да имаш големи проблеми, нито с никоя ОС, нито език, или софтуер.
Аз не съм програмист между другото!