3
Facebook Connect를 사용하는 iPhone 앱을 쓰고 있습니다. 테스트하는 동안, 당신은 일반적으로 코드에 직접 앱의 비밀을 포함하고이 호출로 페이스 북을 설정 :Facebook 세션 프록시는 보안을 어떻게 개선합니까?
session = [FBSession sessionForApplication:myApiKey secret:myAppSecret delegate:self];
그러나, 생산 코드를 대신 코드에 앱 비밀을 삽입의 세션 프록시를 사용하도록 권장합니다 : 그것은 누구 앱에서 발생하는 것처럼 작업을 수행 할 수 있습니다 - -
session = [FBSession sessionForApplication:myApiKey getSessionProxy:myURL delegate:self];
당신의 "비밀"을 멀리주고 어떻게 볼 수는 아마 나쁜 일이다 그러나 프록시 해결할 수있는 문제를 사용하여 어떻게 표시되지 않습니다 그 문제. 침입자는 자신의 코드를 세션 프록시에 연결하기 만하면됩니다. 프록시는 요청이 앱에서 나왔는지 어떤 종류의 확인도하지 않습니다. 다른 말로하면, 당신은 왕국의 열쇠를 나누어주지는 않겠지 만, 당신은 절대적으로 묻는 누구에게나 1 일의 패스를주고 있습니다!
보안이 강화 된 부분은 어디입니까? 프록시 비공개 세션이 제공하지 않는 추가 권한이 있습니까? 예, 추가가, 내가 http://wiki.developers.facebook.com/index.php/Session_Proxy
프록시 구현보고에서 볼 수있는 것과
나는 아직도 사람들은 악의적 인 사용자가 수행 할 수 될지 확실하지 않다 :이 페이지는 세션의 비밀을 사용할 수있는 그 대 응용 프로그램의 비밀을 필요로하는 API 메소드를 식별합니다. – WoodenKitty