Насколько безопасно называть «секретные» URL-адреса в приложении для iOS?

Question

Мы хотим использовать веб-сервис в нашем приложении, который, очевидно, требует для вызова URL.Это не HTTPS, а просто старый HTTP, использующий NSURLConnection.

Проблема в следующем: этот веб-сервис ОЧЕНЬ дорогой, и каждая тысяча звонков стоит нам реальных денег.Опасение состоит в том, что кто-то может выяснить, по какому URL мы звоним, а затем неправильно его использовать, что может привести к увеличению затрат.Мы не можем отследить, был ли вызов этого веб-сервиса законным.

Мы рассчитываем на основе количества продаваемых нами приложений, умноженного на предположение о том, как часто это приложение будет использоваться для каждого пользователя.в среднем.У нас есть хорошие статистические данные, на которых мы основываем наши предположения.

Существуют ли известные способы выяснения, какой URL-адрес приложение вызывает в Интернете для получения информации?

Answer 1

Вы можете легко использовать сетевой сниффер, когда телефон подключен к WiFi, чтобы выяснить эту информацию.Похоже, на самом деле очень важно, чтобы вы использовали SSL с каким-то безопасным токеном в URL.

Если это не вариант, возможно, вы можете предоставить свою собственную прокси-службу, которая будет использовать SSL и токены безопасности?Прокси-сервер также дает возможность регулировать запросы и блокировать пользователей, которые, как известно, являются вредоносными.Регулирование устанавливает верхнюю границу расходов, которые каждый пользователь может понести в течение определенного промежутка времени.Еще одним преимуществом прокси-сервера является то, что он позволяет собирать статистику и измерять расходы, понесенные различными пользователями, облегчая обнаружение злонамеренных пользователей и бизнес-планирование.Прокси-сервер также может сэкономить вам деньги, если служба, стоящая за ним, не имеет состояния, добавив кеш, который удалит много дорогих вызовов.

Answer 2

Если веб-служба не зашифрована, было бы тривиально использовать прокси для перехвата веб-запросов, сделанных телефоном.Если дорогой веб-сервис не предлагает хотя бы какой-либо формы базовой аутентификации, я бы серьезно пересмотрел включение его URL в общедоступное приложение.

Answer 3

Использование простых URL-адресов - это верный способ позволить детишкам-скриптам вывести вас из бизнеса. Если у вас нет возможности отследить, был ли вызов дорогостоящему веб-сервису законным, настройте свой собственный веб-сервис, который выступает перед реальным веб-сервисом, чтобы убедиться, что ваш собственный веб-сервис может проверить законность вызова перед переадресацией запрос к реальному веб-сервису.

Answer 4

Да, есть много способов сделать это. Например, подключите iPhone к сети Wi-Fi, в которой маршрутизатор имеет прозрачный прокси-сервер. Изучите логи прокси. Вы увидите все URL. Зависит от того, насколько решительны ваши пользователи, но это довольно просто.

Answer 5

Хороший вопрос.

Как уже говорили многие, да, легко определить URL, которые запрашивает ваше приложение .

Примечание по HTTPS: Но так как вы используете HTTPS, все в порядке, так как через HTTP домен будет скрыт от IP-адреса, и люди не смогут видеть параметры строки запроса URL . Например, если ваш URL был https://somewebsite.com? Uid = mylogin & pass = mypass , они определенно не смогут видеть «uid = mylogin & pass = mypass», и они, вероятно, могут видеть только IP-адрес, не само доменное имя. (см. https://serverfault.com/questions/186445/can-an-attacker-sniff-data-in-a-url-over-https)

Sidenote: Можно с уверенностью предположить, что Apple выполняет какую-то диагностику HTTP-запросов при проверке вашего приложения - что имеет смысл, поскольку в их интересах попытаться выяснить, что делает ваше приложение с разных сторон.

Answer 6

Игнорируя тот факт, что люди, которые делают джейлбрейк своих устройств, могут посмотреть на ваше приложение, я считаю, что можно исследовать трафик, как и любое другое устройство (ноутбук, планшет и т. Д.), Если кто-то перехватывает трафик через точку доступа WiFi с помощью приложений. например WireShark . Тем не менее, я сомневаюсь, что в сотовой сети 3G будет большой риск этого.