आईओएस ऐप में "गुप्त" यूआरएल को कॉल करना कितना सुरक्षित है?

Question

हम अपने ऐप में एक वेब सेवा का उपयोग करना चाहते हैं, जिसे स्पष्ट रूप से एक यूआरएल कॉल करने की आवश्यकता है। यह NSURLConnection का उपयोग करते हुए, HTTPS नहीं है, केवल सादा पुराना HTTP है।

समस्या यह है: यह वेब सेवा बहुत महंगी है और हर हज़ार कॉल हमें वास्तविक पैसे खर्च करती है। डर यह है कि कोई यह पता लगा सकता है कि हम कौन सी यूआरएल कॉल करते हैं और फिर इसका दुरुपयोग करते हैं, जिससे लागत में विस्फोट हो जाता है। अगर उस वेब सेवा पर कॉल वैध था तो ट्रैक करने का कोई तरीका नहीं है।

हम इस बात पर आधारित हैं कि हम कितने ऐप बेचते हैं, यह अनुमान लगाकर गुणा किया जाता है कि उस ऐप का औसत प्रति उपयोगकर्ता कितनी बार उपयोग किया जाएगा। हमारे पास कुछ अच्छे आंकड़े हैं जिन पर हम अपनी मान्यताओं का आधार रखते हैं।

क्या यह पता लगाने के तरीके ज्ञात हैं कि जानकारी प्राप्त करने के लिए इंटरनेट पर कौन सा यूआरएल कॉल कर रहा है?

Answer 1

हां, ऐसा करने के कई तरीके हैं। एक उदाहरण के लिए, आईफोन को वाईफाई नेटवर्क पर हुक करें, जिसमें राउटर में पारदर्शी प्रॉक्सी है। प्रॉक्सी के लॉग की जांच करें। आप सभी यूआरएल देखेंगे। निर्भर करता है कि आपके उपयोगकर्ता कितने निर्धारित हैं, लेकिन यह आसान है।

Answer 2

यदि वेब सेवा एन्क्रिप्ट नहीं की गई है, तो फोन द्वारा किए गए वेब अनुरोधों को रोकने के लिए प्रॉक्सी का उपयोग करना मुश्किल होगा। यदि महंगी वेब सेवा कम से कम कुछ बुनियादी प्रमाणीकरण की पेशकश नहीं करती है, तो मैं सार्वजनिक ऐप में अपने यूआरएल सहित गंभीरता से पुनर्विचार करता हूं।

Answer 3

इस जानकारी को जानने के लिए फ़ोन वाईफ़ाई पर आसानी से नेटवर्क स्नफ़फर का उपयोग कर सकता है। ऐसा लगता है कि यह वास्तव में महत्वपूर्ण है कि आप यूआरएल में किसी प्रकार के सुरक्षित टोकन के साथ एसएसएल का उपयोग करते हैं।

यदि यह कोई विकल्प नहीं है तो आप शायद अपनी प्रॉक्सी सेवा प्रदान कर सकें जो एसएसएल और सुरक्षा टोकन का उपयोग करेगी? प्रॉक्सी भी अनुरोधों को थ्रॉटल करने और दुर्भावनापूर्ण उपयोगकर्ताओं को अवरोधित करने की क्षमता प्रदान करता है। थ्रॉटलिंग उस व्यय पर ऊपरी सीमा रखता है जो प्रत्येक उपयोगकर्ता किसी दिए गए समय अंतराल के भीतर खर्च कर सकता है। प्रॉक्सी का एक अन्य लाभ यह है कि यह आंकड़ों को इकट्ठा करने और दुर्भावनापूर्ण उपयोगकर्ता पहचान और व्यापार योजना को सुविधाजनक बनाने वाले विभिन्न उपयोगकर्ताओं द्वारा किए गए खर्चों को मापने की अनुमति देता है। प्रॉक्सी आपको कुछ पैसे भी बचा सकता है अगर उसके पीछे की सेवा एक कैश जोड़कर स्टेटलेस है जो बहुत सारी महंगी कॉल निकाल देगी।

Answer 4

तथ्य की उपेक्षा है कि जो लोग अपने उपकरणों भागने संभवतः आपके आवेदन पर दिखाई दे सकता है, मेरा मानना ​​है कि यह किसी भी अन्य डिवाइस (लैपटॉप, टैबलेट, आदि) अगर किसी को एक WiFi हॉटस्पॉट से अधिक यातायात सूँघने था का उपयोग कर की तरह यातायात की जांच करने के लिए संभव है WireShark जैसे अनुप्रयोग। हालांकि, मुझे संदेह है कि सेलुलर 3 जी नेटवर्क पर इसका अधिक खतरा होगा।

Answer 5

अच्छा सवाल।

जैसा कि कई ने कहा है, हाँ, आपके ऐप के अनुरोधों को जानने में आसान है।

HTTPS के बारे में ध्यान दें: लेकिन चूंकि आप उपयोग कर रहे HTTPS आप ठीक हैं क्योंकि HTTPS पर डोमेन आईपी पते के लिए छिप जाएगा, और लोगों यूआरएल क्वेरी स्ट्रिंग पैरामीटर नहीं देख सकता। उदाहरण के लिए, यदि आपका यूआरएल https://somewebsite.com?uid=mylogin&pass=mypass था, तो वे निश्चित रूप से "uid = mylogin & पास = माइपास" नहीं देख पाएंगे, और शायद वे केवल आईपी पता देख सकते हैं, डोमेन नाम ही नहीं।(https://serverfault.com/questions/186445/can-an-attacker-sniff-data-in-a-url-over-https देखें)

Sidenote: वे आपके ऐप की समीक्षा जब ग्रहण करने के लिए है कि एप्पल HTTP अनुरोध निदान किसी प्रकार का प्रदर्शन करती सुरक्षित हो सकता है - जो मतलब है, क्योंकि यह उनके हित में है कोशिश करते हैं और यह पता लगाने की क्या आपका ऐप कई कोणों से करता है।

Answer 6

सादे यूआरएल का उपयोग करना स्क्रिप्ट किड्स आपको व्यवसाय से बाहर करने का एक निश्चित तरीका है। यदि आपके लिए ट्रैक करने का कोई तरीका नहीं है कि महंगी वेब सेवा पर कॉल वैध था, तो अपनी खुद की वेब सेवा स्थापित करें जो वास्तविक वेब सेवा को मोर्च करे ताकि यह सुनिश्चित किया जा सके कि आपकी अपनी वेब सेवा कॉल अग्रेषित करने से पहले कॉल की वैधता को सत्यापित कर सके असली वेब सेवा के लिए अनुरोध।