Безопасность клиент / сервер с мобильного на сайт

Question

Эй. Я новичок в мире веб-программирования и изучаю кучу довольно простых новых технологий, пытаясь собрать их все воедино.

Итак, у нас есть простой клиент (в настоящее время iPhone, который скоро перейдет на J2ME), который собирает списки данных через PHP, который обращается к базе данных MySQL. У меня есть элементарная система пользователя / входа в систему, так что данные предоставляются только тому, кто соответствует известному пользователю и т. Д., Либо на веб-сайте, либо на клиенте.

Все php-скрипты на веб-сайте, которые запрашивают БД, проверяют наличие активного сеанса, в противном случае пользователь возвращается обратно на экран входа в систему.

Я немного прочитал о SSL и хочу знать, достаточно ли этого для защиты сайта и передачи данных между сервером и клиентом?

Answer 1

HTTPS - это защита данных и аутентификация конечных точек. Вам все еще нужно беспокоиться о правильной аутентификации клиента для доступа к вашим услугам. Вам также нужно беспокоиться об уязвимостях, таких как SQL-инъекция и другие уязвимости , которые влияют на PHP. Я настоятельно рекомендую прочитать OWASP Top 10 2010 A3: сломанная аутентификация и управление сеансами , чтобы убедиться, что реализация вашего сеанса безопасна.

Answer 2

Да, SSL достаточно для защиты соединения между клиентом и сервером, если он правильно настроен.

Ваши учетные данные также должны передаваться от клиента к серверу через соединение SSL.