보안 jQuery Mobile + Phonegap

Question

저는 스마트 폰 및 태블릿 용으로 개발 된 Html 5이며 현재 Html 5, CSS, jQuery Mobile 및 PhoneGap 프로젝트에 참여하고 있습니다.

응용 프로그램은 XMLHttpRequest를 통해 수행되는 SOAP 웹 서비스를 통해 서버와 통신을 수행합니다. 그리고 초보자는 보안을 위해 사용해야하는 플러그인, 데이터 암호화 등에 의존해야한다면 애플리케이션의 보안 문제를 해결해야한다는 걱정이 무엇인지 알고 싶습니다.

유효성 검사 사용자 이름과 비밀번호가 양식을 사용하고 있지 않습니다. 페이지간에 매개 변수를 전달하지 마십시오. 나는 PHP를 사용하지 않는다. Android 및 iOS 용으로 개발 중이기 때문에 코드의 가시성을 우회하는 것으로 작동하는지 모르겠습니다.

제 경험이 없으면 .js의 전역 변수를 사용하여 웹 서비스의 다른 방법에 액세스하기위한 사용자 이름과 암호를 저장하십시오. 어디에서 시작하고 계속하고 끝내야할지 모르므로이 보안 문제에 대한 도움을 요청하십시오.

감사합니다. 에서 & 보안을 사용할 수 폰갭의 매우 상세한 고장이

Answer 1

: 당신은, 데이터의 "무선으로"전송에 대해 우려하고 SSL로 서버를 사용하는 경우 간단히 말해서 https://github.com/phonegap/phonegap/wiki/Platform-Security

이, 같은 방식으로 웹 응용 프로그램에서. 장치 암호화가 염려되면 운영 체제의 기본 보안 메커니즘에 위임됩니다.

Answer 2

webapps와 동일한 보안 및 고려 사항. 귀하의 phonegap 프로젝트에서 parse, stackmob, google 또는 bing 맵과 같은 api의 개인 키를 사용하지 마십시오.

Answer 3

특정 기술 스택은 다른 웹 응용 프로그램과 다를 바 없습니다. 여전히 많은 수의 취약성에 취약 할 것입니다.

소리를 통해 사용자가 고려해야하는 클라이언트 측 취약점 만 염려 할 수 있습니다. 이 경우 귀하가 고려해야 할 여러 가지가 있습니다.

1. HTML5를 사용하는 경우 사용중인 로컬 API가 보호되어 있는지 확인하십시오. OWASP에는 우수 사례 목록이 있으므로 https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet 중 일부만 특정 애플리케이션에 적용될 수 있습니다.
2. XSRF 또는 CSS (교차 사이트 스크립팅 또는 XSS)에 대해 구현하려는 모든 유형의 방어가 헛되지 않습니다. 보드 전체에서 작동하는 유일한 방어 유형은 응용 프로그램의 서버 측 (이 예에서는 PHP)에서 구현되는 방어 유형입니다.
3. 또한 데이터를 SSL로 전송 중에 암호화하려면이 서버 (SOAP 웹 서비스 끝점)에서 처리해야합니다. 이 작업을 수행 할 수없는 경우 WS-Security (http://en.wikipedia.org/wiki/WS-Security)

Answer 4

을 사용하는 것이 더 복잡한 방법입니다. HTTPS/SSL + OAUTH (또는 다른 토큰 기반 메커니즘) 각 요청마다 사용자 이름/암호를 전달하는 것보다 ... 간단한 HTTP 인증이 작동하지만.