Защита соединения с iPhone на сервер

Question

Я работаю над приложением для iOS, где оно должно подключаться к веб-службе, расположенной на веб-сервере. И это должно дать аргументы некоторым файлам .php, которые получат эти аргументы через метод POST. Проблема в том, что я не хочу, чтобы кто-то просматривал / знал эти аргументы, и я попробовал, чтобы WireShark мог раскрывать / анализировать значения этих аргументов.

Итак, каков подходящий подход для защиты соединения? Я думал о шифровании данных перед их отправкой на сервер (используя простой секретный / единственный ключ, так как мои данные не очень чувствительны) и то же самое для извлечения данных. с сервера, если я воспользуюсь этим подходом, мне нужно будет реализовать свои собственные классы, но у меня заканчивается время.

Заранее спасибо:)

Answer 1

Https - это вариант здесь, но он не будет скрывать данные от определенного злоумышленника. Злоумышленник может сам MITM реконструировать любой протокол, который вы используете для связи с iphone на сервер, и даже изменять запросы в реальном времени!

Вот хороший пример того, как исследователь смог отменить протокол игрового центра Apple инженера и искусственно установить свой собственный высокий балл в приложении для iOS:

http://corte.si/posts/code/mitmproxy/tute-gamecenter/index.html

Если вас беспокоит этот тип атаки, то вам следует зашифровать свою полезную нагрузку с помощью предварительного общего ключа и симметричного шифра, такого как AES-256 или blowfish.

Answer 2

Используйте https вместо. Ваши данные не очень чувствительны, поэтому этого должно быть достаточно. Возможно, вам даже не придется менять свой код iPhone (кроме изменения URL), хотя это зависит от сертификата вашего сервера.