Научи ме

Други => Сигурност => Темата е започната от: webfen в 03 Юни 2015, 00:18:45

Титла: Сигурност между приложение и Уеб сайт
Публикувано от: webfen в 03 Юни 2015, 00:18:45
Здравейте отново :)
Започнах да пиша приложение за IOS, което трябва да праща информация към базата данни на един сайт. Използвам Mysql . 
Тоест потребителите на въпросното приложение ще пращат снимки и информация към сървъра, където е сайта .
За текстовата информация ползвам HTTP POST REQUEST към сървъра . А отговор от сървъра към приложението получавам чрез JSON файлове.
Исках да попитам относно сигурността , има ли неща за които трябва да внимавам при комуникацията между сървър и приложение ?
Да допуснем че едно приложение стане популярно и се използва от много хора . Има ли неща от които трябва да внимавам и да се защитя ?
Не съм запознат точно в тая насока , а и на IOS все още се уча и приложението което правя е с учебна цел, но трябва да знам за рисковете .
REST API играе ли някаква роля  ? (не съм запознат с тази "функционалност" , виждам че IOS имат RestApiManager ) .
Моля ако има запознати хора тук или такива които знаят нещо , да споделят.
Благодаря ви отново :)
Титла: Re: Сигурност между приложение и Уеб сайт
Публикувано от: Avalanche в 03 Юни 2015, 20:09:28
REST (http://stackoverflow.com/questions/551933/can-you-explain-the-web-concept-of-restful) е просто архитектура за създаване на API-та, съмнявам се да ти помага със сигурноста - ти му подаваш/искаш данни, то ги обработва.

По-добре потърси в мрежата, за твоята среда на разработка какви неща се ползват за най-честите атаки в уеб. Най-често говорим за XSS, SQL Injections, CSRF, криптиране на данни и пароли, проверка на качваните файлове, и други. SQL инжекциите ще ги отметнеш като ползваш prepared statements, няма как да няма за твоя стак. XSS и CSRF също не са голяма драма, но трябва да видиш конкретната имплемтация - нямам опит в iOS сферата. Криптирането на пароли е стандартно, забравяш за md5 и ползваш някакъв по-сложен алгоритъм, както към него salt (допълнителен произволен низ, който се криптира заедно паролата). Файловете не разчитай да ги проверяваш само по mime type, то даже това няма да ти помогне особено - задължително по extension (има скриптове, които могат да се "представят" за снимки или каквото там е разрешено) и по размер - това вече не го коментираме, ти си го определяш.

В сайтът имаме два урока на тази тема, може би ще искаш да ги прегледаш - Компютърна сигурност - Въведение от Keeper (http://nau4i.me/c/492) и Крос-сайт Скриптинг (XSS) (http://nau4i.me/c/493)