Sicurezza jQuery Mobile + Phoneonap

Question

Sono nuovo nello sviluppo di Html 5 per smartphone e tablet e sono attualmente su un progetto Html 5, CSS, jQuery Mobile e PhoneGap.

L'applicazione esegue la comunicazione con il server tramite SOAP Web Service eseguita tramite XMLHttpRequest. E in che modo il principiante desidera sapere quali sono le preoccupazioni che devo prendere in merito alla sicurezza nell'applicazione se devo ricorrere a plug-in, crittografia dei dati, ecc., Tutto ciò che devo usare per la sicurezza.

Nome utente e password di convalida non utilizzano il modulo. Non passare i parametri tra le pagine. Non sto usando PHP. Non so se funzioni per aggirare la visibilità del codice perché sto sviluppando per Android e iOS.

Per la mia inesperienza provvisoriamente utilizzo variabili globali in. Js per salvare nome utente e password per accedere ad altri metodi di web sevice. Richiedere assistenza su questo problema di sicurezza perché non so da dove iniziare, continuare e finire.

Grazie!

Answer 1

C'è una ripartizione molto dettagliato di PhoneGap & di sicurezza disponibili presso: https://github.com/phonegap/phonegap/wiki/Platform-Security

In poche parole, se siete preoccupati per "over the air" trasmissione di dati, utilizza un server con SSL, allo stesso modo si farebbe in un'applicazione web. Se sei preoccupato per la crittografia dei dispositivi, è delegato ai meccanismi di sicurezza predefiniti del sistema operativo.

Answer 2

La stessa sicurezza e le considerazioni delle applicazioni web e MAI utilizzare le chiavi private da apis come parse, stackmob, google o bing nei progetti phonegap.

Answer 3

Il tuo particolare stack di tecnologia non è diverso da qualsiasi altra applicazione web. Sarai ancora vulnerabile a un gran numero di vulnerabilità.

Dal punto di vista sonoro, sei solo preoccupato delle vulnerabilità del lato client che dovresti prendere in considerazione. Se questo è il caso, ci sono un certo numero di cose che dovresti prendere in considerazione.

1. Se si utilizza HTML5, assicurarsi che tutte le API locali che si stanno utilizzando siano protette. OWASP ha un buon elenco di best practice da seguire https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet solo alcune di queste potrebbero essere applicabili alla tua applicazione specifica.
2. Qualsiasi tipo di difesa che si intende implementare per XSRF o CSS (Cross-Site Scripting o XSS) sarà invano. L'unico tipo di difesa che funzionerà su tutta la linea sono quelli implementati sul lato server dell'applicazione (PHP, in questo esempio).
3. Inoltre, se si desidera crittografare i dati in transito tramite SSL, questo deve essere gestito dal server (l'endpoint del servizio Web SOAP). Se questo non può essere realizzato, poi un più complicato alternativa sarebbe quella di utilizzare WS-Security (http://en.wikipedia.org/wiki/WS-Security)

Answer 4

Oltre a seguire il passo con gli altri commenti ... Vorrei suggerire l'uso di HTTPS/SSL + OAUTH (o qualche altro meccanismo basato su token) per passare il nome utente/password ad ogni richiesta ... anche se funziona la semplice Autenticazione HTTP.