आईफोन और सर्वर के बीच सुरक्षित संचार?

Question

मैं एक ऐप विकसित कर रहा हूं जो एक्सएमएल आधारित एपीआई से जुड़ता है। मेरे पास सर्वर और ऐप दोनों पर नियंत्रण है - क्या कोई तरीका है कि मैं यह सुनिश्चित कर सकता हूं कि केवल मेरा ऐप एपीआई एक्सेस कर सके?

कोई उपयोगकर्ता प्रमाणीकरण नहीं है।

संपादित करें:

मुख्य चिंता यह है कि बॉट एक्सएमएल को स्कैन करके डेटा चोरी है।

कैसे इस बारे में:

मैं डिवाइस UDID के साथ एक सत्र का अनुरोध और मैं एक हाथ मिलाना कुंजी मिलता है।

<handshake>23354</handshake> 

इस स्ट्रिंग एक पासवर्ड दोनों सर्वर और एक सहमति एल्गोरिथ्म के अनुसार ग्राहक पर गणना की जाती है से

है कि मैं में 1 जोड़

के अब के लिए मान लीजिए (यह सिर्फ फिर से संगठित करने के लिए कठिन हो गया है) हैंडशेक कुंजी

password = 23354 

सभी एपीआई कॉल पर मैं यूडीआईडी ​​के साथ इस पासवर्ड को पास करता हूं। यह सर्वर को प्रत्येक सत्र को कॉल की एक निश्चित संख्या तक सीमित करने की अनुमति देगा, नहीं?

आपको क्या लगता है?

Answer 1

आप एक त्वरित चुनौती प्रतिक्रिया तंत्र प्रदान कर सकते हैं, मानते हैं कि आपके पास XML एपीआई पर नियंत्रण है।

एक संख्या उत्पन्न करें और इसे अपने ऐप में और सर्वर की तरफ शामिल करें। क्लाइंट और सर्वर दोनों पर srand() के लिए बीज के रूप में उपयोग करें।

<handshake id="123">12312931</handshake> 

वहाँ आईडी का मतलब 123'rd यादृच्छिक संख्या उत्पन्न और 12,312,931 रैंड बुला() 123 बार के बाद मूल्य है:

ग्राहक से अनुरोध की तरह कुछ शामिल है। मूल्य 123 एक यादृच्छिक रूप से जेनरेट किया गया नंबर होना चाहिए (एक अलग बीज के साथ उत्पन्न!) भी।

यह मूर्ख प्रमाण चुनौती प्रतिक्रिया नहीं है, लेकिन यह सरल और कुशल है, और मूल एएनएसआई सी लाइब्रेरी सेट से अधिक कुछ भी भरोसा नहीं करता है।

ध्यान दें कि यह बहुत सुरक्षित नहीं है, या तो सभी को यह करना होगा कि आपका ग्राहक अपने सर्वर को चुनौती दे, तो इस बीज में प्रत्येक बीज मूल्य के लिए यादृच्छिक संख्या (उदाहरण के लिए) 123'rd यादृच्छिक संख्या उत्पन्न करें। इसलिए मैं इसे क्रिप्टोग्राफिक स्तर प्रमाणीकरण या अभिगम नियंत्रण प्रदान करने की अपेक्षा नहीं करता। यह सिर्फ एक सरल गैर-तुच्छ चुनौती प्रतिक्रिया प्रदान करता है जो कार्यान्वित करने के लिए कुशल और सरल है।

Answer 2

प्रमाणीकरण के साथ https के माध्यम से अपनी वेब सेवा तक पहुंचें।

Answer 3

नहीं, वास्तव में यह सुनिश्चित करना संभव नहीं है कि केवल आपका ऐप आपके सर्वर से संपर्क कर सके। हमलावरों पर कुछ हद तक बार बढ़ाने के लिए obfuscation तकनीकें हैं, और वे अधिकतर हमलावरों के लिए काम करेंगे। आपकी अंतर्निहित समस्या एक समर्पित हमलावर के लिए हल करने योग्य नहीं है। आप iPhone: How to encrypt a string पर इस विषय पर अन्य पोस्ट की एक सूची पा सकते हैं। ऐसी कई तकनीकें हैं जिनका आप उन पदों में उपयोग कर सकते हैं, और कुछ चर्चाएं कि कैसे अंतर्निहित मुद्दों पर हमला करना चाहिए या नहीं।

Answer 4

आप यह सत्यापित करने के लिए किसी प्रकार के हस्ताक्षर का उपयोग कर सकते हैं कि यह वास्तव में आपका ऐप कॉल कर रहा है, आप सर्वर सर्वर और ऐप दोनों ओर हस्ताक्षर की गणना करते हैं, केवल तभी जब वे मेल खाते हैं तो अनुरोध के जवाब में सेवा वापस आ जाएगी । आम तौर पर हस्ताक्षर आपके कार्य के पैरामीटर के कुछ एसटी से बना होते हैं, इसके बाद एक गुप्त कुंजी होती है, फिर उसमें से md5 हैश लें और इसे छीन लें। आर इक्विटी में कोई भी गुप्त कुंजी नहीं ढूंढ पाएगा क्योंकि यह एमडी 5 हैश में है।

Answer 5

मुझे लगता है कि वास्तविक प्रश्न पूछने की आवश्यकता है कि हमले के जोखिम पर आपका डेटा कितना है। मैं कहूंगा कि 99% समय आप ठीक से एक obfuscated यूआरएल के साथ ठीक हो जाएगा, अनुमान लगाना मुश्किल होगा, क्योंकि औसत ऐप आपके ऐप के बाहर कुछ भी करने की कोशिश कर रहा है। यदि आप प्रतिस्पर्धा करने वाले प्रतियोगियों के बारे में चिंतित हैं, तो मैं कुछ और अधिक घृणास्पद सुझाव दूंगा:

अपने ऐप में, इसे सेट अप करें ताकि आपका ऐप और सर्वर हर दो सप्ताह में हर बार यूआरएल बदल सके। फिर यदि कोई आपके एक्सएमएल एपीआई तक पहुंचने का प्रयास करता है, तो वे आपके यूआरएल को समझने की निरंतर लड़ाई लड़ेंगे। और केक पर टुकड़े करने के रूप में, पुराने यूआरएल सक्रिय रखें लेकिन उन्हें खराब डेटा वापस कर दें। मुझे लगता है कि आप अपनी कल्पना को चलाने और यहां से बाकी को समझने दे सकते हैं।