1. घर
  2. सवाल और जवाब
  3. एक वेबसाइट सेवा सुरक्षित बनाना

एक वेबसाइट सेवा सुरक्षित बनाना

2010-08-17 17 views
9

मैं अपना आईफोन ऐप लपेट रहा हूं। मैं बस हमारे वेब सर्वर स्तर पर सुरक्षा के बारे में चिंतित हूं। डेटा को वेब सेवाओं के माध्यम से आईफोन ऐप पर खींच लिया जा रहा है।एक वेबसाइट सेवा सुरक्षित बनाना

वेब सेवाओं पर मैं कौन से सुरक्षा उपायों को डाल सकता हूं ताकि मैं कमजोर न हो?

धन्यवाद

स्रोत

2010-08-17 Matt

+0

मैंने आईफोन टैग जोड़ा है ताकि आईफोन अनुभव वाले किसी व्यक्ति को आईफोन पर सुरक्षा सुविधाओं के बारे में कुछ जानकारी साझा कर सकें। –

+0

@ लादिस्लाव - यह प्रश्न के दायरे से बाहर है। यह वेब सेवाओं के लिए है। आईफोन सुरक्षा सुविधाओं के संबंध में एक अलग सवाल पूछा जाना चाहिए। –

+0

@ केली: मैं सहमत नहीं हूं। यदि आप आईफोन क्लाइंट द्वारा उपभोग की गई वेब सेवा लिखना चाहते हैं तो आपको पता होना चाहिए कि क्लाइंट प्लेटफ़ॉर्म पर कौन सी सुरक्षा सुविधाएं आसानी से लागू होती हैं। मैं आसानी से सुरक्षित सेवा विकसित कर सकता हूं जिसे आप आईफोन पर उपभोग नहीं कर पाएंगे। इसके अलावा मैंने आईफोन पर डब्लूएस-सिक्योरिटी के साथ उपभोग सेवाओं के साथ समस्याओं को लक्षित करने के बहुत सारे प्रश्न देखे हैं। –

उत्तर

4

कुछ संकेत दिए गए:

  • का उपयोग कर RSA signed XML
  • सुनिश्चित करें कि सब कुछ खत्म हो गया SSL
  • एन्क्रिप्ट सभी डेटा यातायात फैलता है वेब सेवा से सभी अनुरोधों को सत्यापित करें। मैं AES एन्क्रिप्शन का उपयोग कर DUKPT कुंजी प्रबंधन प्रणाली में देखने की अनुशंसा करता हूं।
  • WCF का उपयोग करें - यह सभी के बाद नवीनतम मानक है (this)
  • किसी प्रकार की वेब सेवा प्रमाणीकरण का उपयोग करें। यह उतना आसान हो सकता है जितना कि प्रत्येक अनुरोध को उपयोगकर्ता नाम और पासवर्ड की आवश्यकता होती है। यह प्रत्यक्ष कॉल प्रयासों को धीमा कर देगा, और यदि आपको एन्क्रिप्शन सही हो, तो आपको सादे एक्सएमएल में उपयोगकर्ता नाम और पासवर्ड नहीं रखना पड़ेगा।
  • सबसे महत्वपूर्ण बात यह सुनिश्चित करती है कि सर्वर स्वयं सुरक्षित है। अगर कोई सर्वर को दरकिनार करता है, तो आप पानी में मर जाते हैं, और नहीं करते कि आप और क्या करते हैं।

संपादित करें:

नेट एईएस इंटरोऑपरेबिलिटी को iPhone के लिए this question पर एक नज़र डालें।

स्रोत

2010-08-17 20:03:30

+0

क्या एक मानक एन्क्रिप्शन है। मेरा मतलब है एन्क्रिप्टिंग।सेब iphone स्तर पर एक्सकोड में डिक्रिप्ट करने से सर्वर पर नेट स्तर? उम्मीद है कि यह एक बेवकूफ सवाल नहीं है। – Matt

+0

@Tricky - मूल रूप से आपको एक नज़र रखना होगा। एईएस एक मानक है, इसलिए आईफोन इसे समर्थन करने में सक्षम होना चाहिए। –

+0

आप चीजों के आईफोन पक्ष से सीमित होने जा रहे हैं। –

1

यदि आप प्रमाणीकरण को लागू करने के लिए वेब सेवा पेलोड का उपयोग नहीं कर रहे हैं तो आप सामान्य HTTP एथ, एसएसएल के साथ अपनी सेवाएं सुरक्षित कर सकते हैं। क्या आप सर्वर साइड प्रोग्रामर भी हैं?

स्रोत

2010-08-17 20:08:34 Robin

0

इससे कोई फर्क नहीं पड़ता कि आप डब्लूसीएफ सेवा को "सुरक्षित" करते हैं, यदि आपकी डब्ल्यूसीएफ सेवा असुरक्षित है। आपको यह मानना ​​चाहिए कि एक हमलावर आईफोन क्लाइंट के बिना आपकी वेब सेवा तक पहुंच सकता है। क्या आपकी वेब सेवा एसक्यूएल इंजेक्शन के लिए कमजोर है? क्या आप खराब कार्यक्षमता का पर्दाफाश कर रहे हैं जो किसी हमलावर को आपके सर्वर पर फ़ाइलों को पढ़ने या किसी अन्य उपयोगकर्ता खाते को बदलने की अनुमति दे सकता है? दिमाग में OWASP Injection flaws रखें। अपने ग्राहकों को स्पिलिंग जानकारी से सुरक्षित रखने के लिए HTTPS का उपयोग करें। शेष यह सुनिश्चित करना चाहिए कि आपके द्वारा खुलासा की गई कार्यक्षमता सुरक्षित है।

एक हमलावर आपके आईफोन बाइनरी या मेमोरी में स्टोर करने और स्टोर करने के लिए कोई भी गुप्त कुंजी या पासवर्ड ढूंढ पाएगा। आपके द्वारा किए गए आईफोन पर हमलावर का अधिक नियंत्रण होता है, वह जेल को डिवाइस तोड़ सकता है और फिर छिपाने के लिए कोई जगह नहीं है।

स्रोत

2010-08-17 23:46:16 rook

संबंधित मुद्दे

 संबंधित मुद्दे