我在问自己。将个人信息从 iOS 设备发送到服务器的最佳方式是什么。
此时我加密了应用程序中的密码(sha1 salt password pepper),然后我使用从 iOS 向服务器发送发布数据。
保护用户和防止任何 MITM 攻击的最佳方法是什么?我的方式足够安全吗?
更新:
我添加了 SSL 证书。为了确保用户只需在我存储用户注册时生成的密钥后登录。我在用户第一次登录时获取它们。与用户名和用户 ID 结合使用。这是一个好方法吗?只有越狱用户才能阅读并有风险。
问问题
1301 次
1 回答
7
在客户端对密码进行散列有助于防止密码本身在窃听中被检测到,但它本身并没有提供任何安全性,因为凭据然后成为密码的散列版本,而不是原始密码本身。窃听者可以只获取散列版本,然后自己发送散列。
到目前为止,最简单的解决方案是简单地使用 SSL/TLS。由于您提到了“post”,这意味着您可能正在使用 HTTP。相反,您可以通过 HTTPS 连接并发布数据,就像您已经在做的一样。只要检查证书的有效性(我相信 iOS 框架已经默认这样做了),那么连接应该在很大程度上是安全的。
对于大多数情况,这应该足够好了。您可以使用一些更复杂和复杂的技术来进一步强化,但 SSL/TLS 本身就可以完成大量工作。
于 2012-10-04T21:19:49.620 回答