दिलचस्प पोस्ट
क्या कारण है और NoClassDefFoundError और ClassNotFoundException के बीच अंतर क्या हैं? आईओएस 8 में स्थान सेवा नहीं चल रही है एंड्रॉइड में मेरे एप्लिकेशन से केवल संदेश प्राप्त करने के लिए लॉगक फ़िल्टर करें? MongoDB के साथ एक नेस्टेड ऐरे अपडेट करना जावास्क्रिप्ट में डॉलर मुद्रा स्ट्रिंग के रूप में मैं संख्याओं को कैसे प्रारूपित कर सकता हूं? कोणीय 2 – एक निरीक्षण योग्य से सीधे डेटा लौटें dict.fromkeys सभी बिंदु एक ही सूची में जावा: त्रुटि: चर शुरू नहीं किया गया हो सकता है एकाधिक स्तंभ मूल्यों के लिए एक एकल कॉलम मूल्य को कैसे विभाजित किया जाए? समय संवेदनशील कोड के परीक्षण के लिए जावा सिस्टम PHP के लिए FOREACH में प्रदर्शन Excel में सूत्र से खाली सेल लौटें Exec () और eval () क्यों होना चाहिए? 1064 त्रुटि तालिका बनाएँ … प्रकार = MYISAM इंटेंट का उपयोग करते हुए एंड्रॉइड कई ईमेल अटैचमेंट

IPhone ऐप को वेबपेज के लिए सुरक्षित https एन्क्रिप्शन

मैं एक आईफोन ऐप को बेचना चाहता हूं, जो वेब पेज पर एक वेब विज़िट को घर देगी, कहते हैं http://www.myapp.com/webview/ मैं ऐप को वेबसाइट पर प्रमाणीकरण के लिए जरूरी क्रेडेंशियल्स को प्रभावी ढंग से संगृहीत करना चाहूंगा ( अर्थात केवल जिस व्यक्ति ने ऐप खरीदा है वह इस पृष्ठ को देख सकता है)

उपयोगकर्ता को लॉग इन करने की आवश्यकता के बिना, मेरे पास iPhone पर एक सुरक्षित, सरल वेबव्यू कैसे होगा (अनिवार्यतः वे ऐप खरीदने से पृष्ठ पर उनकी प्रमाणीकरण का गठन होगा)

क्या कोई इसके लिए सहायता कर सकता है?

वेब के समाधान से एकत्रित समाधान "IPhone ऐप को वेबपेज के लिए सुरक्षित https एन्क्रिप्शन"

इस लक्ष्य को हासिल करने का कोई पूर्ण तरीका नहीं है यदि आपके पास एक वेब सेवा है जो एक साझा क्रेडेंशियल (एक आवेदन में बंडल) का उपयोग करती है, तो वह क्रिएडेबल इंजीनियर को रिवर्स करना संभव होगा। अंततः यह सुनिश्चित करना असंभव है कि एक ग्राहक दूसरे मशीन पर चल रहा है "आपका" ग्राहक है

इसके बारे में कई चर्चा हुई है यह निराशाजनक नहीं है, केवल 100% (या 90%) को हल करना असंभव है। एसएसएल पर एक सरल साझा रहस्य आपके उपयोगकर्ताओं को नुकसान पहुंचाए बिना या विकसित करने के लिए बहुत अधिक लागत के कारण आपके अधिकांश आक्रमणकारी को रोक देगा। यह अस्पष्टता है, सुरक्षा नहीं है, लेकिन सस्ते और "अधिकतर प्रभावी" महंगा और "अधिक प्रभावी" से बेहतर है।

यदि आपके पास बहुत ही उच्च मूल्य वाले उत्पाद हैं, तो यह अधिक आक्रामक (महंगी) समाधानों का आश्वासन दे सकता है इन सभी समाधानों में से दो चीजों में से एक है:

  • कार्यक्रम के बजाय उपयोगकर्ता को प्रमाणित करना, या
  • निरंतर सतर्कता, नए हमलों के लिए देख रहे हैं और उन्हें सुधारने वाले फिक्सेस के साथ जवाब देना।

उत्तरार्द्ध बहुत महंगा है और कभी समाप्त नहीं होता है। सुनिश्चित करें कि यह इसके लायक है।

कुछ अन्य उपयोगी चर्चाएं:

  • विरोधी चोरी और ऐप की पहचान आईफोन एसडीके
  • एक निश्चित कंप्यूटर पर चलने के लिए एक्जीक्यूटेबल को सीमित करने का सबसे आसान तरीका
  • उद्देश्य-सी पुस्तकालयों को घटाना
  • कोको को छुपाना

संपादित करें मैं "एसएसएल पर साझा गुप्त" का उल्लेख करने के बारे में एक बात को इंगित करना चाहता हूं। याद रखें कि यदि आप प्रमाण पत्र की पुष्टि नहीं करते हैं, तो आप बहुत आसान आदमी-इन-द-मध्य आक्रमणों के अधीन हैं। चार्ल्स जैसी आसानी से उपलब्ध प्रॉक्सी ऐसा कर सकते हैं सबसे अच्छा तरीका यह सुनिश्चित करना है कि SSL प्रमाण पत्र वापस किया जा रहा है जो आपके रूट प्रमाणपत्र द्वारा हस्ताक्षरित होता है, न कि "केवल किसी विश्वसनीय प्रमाण पत्र"। आप पुन: कॉन्फ़िगर कर सकते हैं कि SecTrustSetAnchorCertificates() साथ आपके एप्लिकेशन द्वारा कौन सा प्रमाणपत्र विश्वसनीय हैं आईओएस 5: पीटीएल इस तकनीक को अध्याय 11 (पृष्ठ 221) में शामिल करता है। मैंने इसे RNPinnedCertValidator नामक एक पुस्तकालय में लपेट लिया है।

एक और अच्छी परत एक चुनौती-प्रतिक्रिया प्रणाली को कार्यान्वित करने के लिए है जहां सर्वर प्रमाणित करता है कि क्लाइंट को कभी भी इसे तार पर लगाए बिना साझा किया रहस्य है। चैलेंज रिस्पांस प्रमाणीकरण पर विकिपीडिया लेख में एल्गोरिथम का एक अच्छा स्पष्टीकरण शामिल है।