दिलचस्प पोस्ट
सी ++ हेक्स स्ट्रिंग कन्वर्ट करने के लिए हस्ताक्षरित पूर्णांक मल्टीपार्ट / फ़ॉर्म-डेटा अनुरोध भेजने के लिए उपकरण X-FACEBOOK-PLATFORM को समर्थन देने वाला जावा एस्मैक लाइब्रेरी वाला एक्सएमपीपी Laravel 5 में छवि को कैसे सार्वजनिक दृष्टि से बचा सकता है? जीयूआई आधारित या वेब-आधारित जेएसओएन संपादक जो संपत्ति एक्सप्लोरर की तरह काम करता है पता लगाएँ कि एंड्रॉइड डिवाइस में इंटरनेट कनेक्शन है गूगल मानचित्र एपीआई वी 3 – सटीक एक ही जगह पर कई मार्कर ऑपरेटर और अतिभारित होने पर मुझे ऑब्जेक्ट के पते पर कैसे मज़बूती से प्राप्त हो सकता है? कैसे MATLAB में एक चर नाम के लिए एक संख्या को जोड़ने के लिए? हस्ताक्षरित लोगों पर अहस्ताक्षरित मानों का उपयोग कब करना है? हम लॉग इन जावा में लाइन नंबर कैसे मुद्रित कर सकते हैं yii CPasswordHelper: हैश पासवर्ड और सत्यापन पासवर्ड क्यों नहीं "सीडी" एक बास खोल स्क्रिप्ट में काम करते हैं? नेविगेशन नियंत्रक पुश व्यू नियंत्रक WPF: कैसे कैनवास स्वत: आकार बदलने के लिए?

IPhone ऐप को वेबपेज के लिए सुरक्षित https एन्क्रिप्शन

मैं एक आईफोन ऐप को बेचना चाहता हूं, जो वेब पेज पर एक वेब विज़िट को घर देगी, कहते हैं http://www.myapp.com/webview/ मैं ऐप को वेबसाइट पर प्रमाणीकरण के लिए जरूरी क्रेडेंशियल्स को प्रभावी ढंग से संगृहीत करना चाहूंगा ( अर्थात केवल जिस व्यक्ति ने ऐप खरीदा है वह इस पृष्ठ को देख सकता है)

उपयोगकर्ता को लॉग इन करने की आवश्यकता के बिना, मेरे पास iPhone पर एक सुरक्षित, सरल वेबव्यू कैसे होगा (अनिवार्यतः वे ऐप खरीदने से पृष्ठ पर उनकी प्रमाणीकरण का गठन होगा)

क्या कोई इसके लिए सहायता कर सकता है?

वेब के समाधान से एकत्रित समाधान "IPhone ऐप को वेबपेज के लिए सुरक्षित https एन्क्रिप्शन"

इस लक्ष्य को हासिल करने का कोई पूर्ण तरीका नहीं है यदि आपके पास एक वेब सेवा है जो एक साझा क्रेडेंशियल (एक आवेदन में बंडल) का उपयोग करती है, तो वह क्रिएडेबल इंजीनियर को रिवर्स करना संभव होगा। अंततः यह सुनिश्चित करना असंभव है कि एक ग्राहक दूसरे मशीन पर चल रहा है "आपका" ग्राहक है

इसके बारे में कई चर्चा हुई है यह निराशाजनक नहीं है, केवल 100% (या 90%) को हल करना असंभव है। एसएसएल पर एक सरल साझा रहस्य आपके उपयोगकर्ताओं को नुकसान पहुंचाए बिना या विकसित करने के लिए बहुत अधिक लागत के कारण आपके अधिकांश आक्रमणकारी को रोक देगा। यह अस्पष्टता है, सुरक्षा नहीं है, लेकिन सस्ते और "अधिकतर प्रभावी" महंगा और "अधिक प्रभावी" से बेहतर है।

यदि आपके पास बहुत ही उच्च मूल्य वाले उत्पाद हैं, तो यह अधिक आक्रामक (महंगी) समाधानों का आश्वासन दे सकता है इन सभी समाधानों में से दो चीजों में से एक है:

  • कार्यक्रम के बजाय उपयोगकर्ता को प्रमाणित करना, या
  • निरंतर सतर्कता, नए हमलों के लिए देख रहे हैं और उन्हें सुधारने वाले फिक्सेस के साथ जवाब देना।

उत्तरार्द्ध बहुत महंगा है और कभी समाप्त नहीं होता है। सुनिश्चित करें कि यह इसके लायक है।

कुछ अन्य उपयोगी चर्चाएं:

  • विरोधी चोरी और ऐप की पहचान आईफोन एसडीके
  • एक निश्चित कंप्यूटर पर चलने के लिए एक्जीक्यूटेबल को सीमित करने का सबसे आसान तरीका
  • उद्देश्य-सी पुस्तकालयों को घटाना
  • कोको को छुपाना

संपादित करें मैं "एसएसएल पर साझा गुप्त" का उल्लेख करने के बारे में एक बात को इंगित करना चाहता हूं। याद रखें कि यदि आप प्रमाण पत्र की पुष्टि नहीं करते हैं, तो आप बहुत आसान आदमी-इन-द-मध्य आक्रमणों के अधीन हैं। चार्ल्स जैसी आसानी से उपलब्ध प्रॉक्सी ऐसा कर सकते हैं सबसे अच्छा तरीका यह सुनिश्चित करना है कि SSL प्रमाण पत्र वापस किया जा रहा है जो आपके रूट प्रमाणपत्र द्वारा हस्ताक्षरित होता है, न कि "केवल किसी विश्वसनीय प्रमाण पत्र"। आप पुन: कॉन्फ़िगर कर सकते हैं कि SecTrustSetAnchorCertificates() साथ आपके एप्लिकेशन द्वारा कौन सा प्रमाणपत्र विश्वसनीय हैं आईओएस 5: पीटीएल इस तकनीक को अध्याय 11 (पृष्ठ 221) में शामिल करता है। मैंने इसे RNPinnedCertValidator नामक एक पुस्तकालय में लपेट लिया है।

एक और अच्छी परत एक चुनौती-प्रतिक्रिया प्रणाली को कार्यान्वित करने के लिए है जहां सर्वर प्रमाणित करता है कि क्लाइंट को कभी भी इसे तार पर लगाए बिना साझा किया रहस्य है। चैलेंज रिस्पांस प्रमाणीकरण पर विकिपीडिया लेख में एल्गोरिथम का एक अच्छा स्पष्टीकरण शामिल है।