Безопасность на клиент-серверном приложении

Question

Я разрабатываю клиент-серверное приложение, клиент - это устройство iPhone, которое связывается с моим сервером c #. Клиент и сервер используют текстовый протокол, который я разработал для обмена сообщениями через TCP-сокеты. Может кто-нибудь дать мне несколько советов, как добавить базовую безопасность в это приложение? На данный момент единственным элементом безопасности, который у меня есть, является аутентификация клиента с логином в имени пользователя и пароле. Но, например, любой может без проблем видеть и читать сообщения, передаваемые между клиентом и сервером ...

Answer 1

В мобильной среде пользователь приложения имеет больший контроль над устройством, чем вы, как разработчик. невозможно скрыть секретный пароль или ключ.Вы должны учитывать вредоносный клиент, поэтому будьте осторожны с функциональностью, которую вы предоставляете.

Отправка имени пользователя и пароля в виде обычного текста является нарушением OWASP a9 .Вы должны рассмотреть возможность использования SSL / TLS или HTTPS.

Answer 2

Вы смотрели на openssl ?SSL - это криптографические протоколы, которые обеспечивают безопасную связь.SSL будет препятствовать другим прослушивать поток между вашим клиентом и сервером.

Еще одна вещь, которую вы должны сделать, - это проверить все входные данные сервера, чтобы предотвратить выполнение вредоносного кода на вашем сервере.Например, если у вас есть база данных, где вы храните пользовательский ввод, вам следует взглянуть на SQL-инъекцию .