Вопросы безопасности при создании мобильного приложения с помощью PhoneGap

Я начинаю создавать мобильные приложения с телефонной связью. У меня есть некоторые сомнения в аспектах безопасности при создании мобильного приложения с телефонной связью.

  • Я хочу создать приложение, которое обращается к веб-службе, например. служба REST, созданная с использованием Джерси. Теперь я правильно понял, что хакер может легко увидеть используемые ключи безопасности/аутентификацию, аутентифицировать клиента (в мобильном приложении) с сервером (где должен использоваться REST API)?

  • В общем, может ли хакер легко получить доступ ко всем данным, отправляемым мобильным приложением (которое было создано с помощью phonegap)?

  • Может ли хакер разобрать приложение phonegap для получения исходного кода? Не будет ли он получить собственный код (например, Objective C в случае ios)? Или он может декомпилировать это даже в исходный телефонный код (т.е. Html + js)? Как предотвратить декомпиляцию моего кода? Является ли этот сценарий тем же, что и для большинства других языков, например, хакеры с мощными ПК могут взломать практически любую программу/программное обеспечение? Есть ли способ предотвратить это?

ОТВЕТЫ

Ответ 1

Хорошо, сначала сделайте глубокий вдох. Возможно, вам не понравятся некоторые из моих ответов, но вы будете жить с теми же проблемами, что и все мы.

  • В этом случае лучше всего использовать что-то вроде KeyChain для извлечения ваших ключей безопасности из родной.

  • Вы можете удалить PhoneGap из-за того, что он применяется к любой ситуации, когда вы отправляете незашифрованные данные между клиентом и сервером. Любой может легко прослушивать использование нескольких инструментов, включая Wireshark или Ethereal. Если вам нужно общаться с портом, это должно быть сделано по зашифрованному, HTTPS или SSL-соединению.

  • Сначала я думаю, что вы ошибаетесь, что PhoneGap компилирует ваш код HTML/JS в Obj-C. Это не. Если пользователь распакует ваше приложение, он сможет прочитать ваш HTML/JS. Кроме того, они смогут декомпилировать ваш код Obj-C. Это не требует мощного ПК или даже опытного хакера. Практически любой может это сделать.

Мой совет вам не беспокоиться об этом. Положите свое время на создание действительно отличного приложения. Люди, которые будут платить за это, будут платить за это. Люди, которые декомпилируют его, никогда не будут покупать приложение, несмотря ни на что. Чем больше времени вы пытаетесь бороться с хакерами, тем больше времени вы можете использовать, чтобы увеличить ваше приложение. Кроме того, большинство мер по борьбе с взломом просто делают жизнь более сложной для ваших реальных пользователей, поэтому на самом деле они неэффективны.