Sicherheit jQuery Mobile + Phonegap

Question

Ich bin neu in der Entwicklung Html 5 für Smartphones und Tablets und bin derzeit auf einem Projekt Html 5, CSS, jQuery Mobile und PhoneGap.

Die Anwendung führt die Kommunikation mit dem Server über den SOAP Web Service aus, der über XMLHttpRequest ausgeführt wird. Und wie wollen Neulinge wissen, welche Bedenken ich bei der Sicherheit in der Anwendung haben muss, wenn ich auf Plugins, Datenverschlüsselung etc. zurückgreifen muss, alles was ich für die Sicherheit brauche.

Validierung Benutzername und Passwort verwende kein Formular. Übergeben Sie keine Parameter zwischen Seiten. Ich benutze nicht PHP. Ich weiß nicht, ob es funktioniert, die Sichtbarkeit des Codes zu umgehen, weil ich für Android und iOS entwickle.

Für meine Unerfahrenheit verwende ich vorläufig globale Variablen in. Js, um den Benutzernamen und das Passwort für den Zugriff auf andere Methoden der Web-Service zu speichern. Bitte fordern Sie Hilfe zu diesem Sicherheitsproblem an, da ich nicht weiß, wo ich anfangen, fortfahren und beenden soll.

Danke! Abbau von PhoneGap & Sicherheit verfügbar bei

Answer 1

Es gibt eine sehr detailliert: https://github.com/phonegap/phonegap/wiki/Platform-Security

Auf den Punkt gebracht, wenn Sie sich Sorgen um „über die Luft“ Übertragung von Daten sind, verwenden Sie einen Server mit SSL, auf die gleiche Weise würde in einer Webanwendung. Wenn Sie Bedenken hinsichtlich der Geräteverschlüsselung haben, werden diese an die Standardsicherheitsmechanismen des Betriebssystems delegiert.

Answer 2

Gleiche Sicherheitsaspekte wie webapps und NIEMALS private Schlüssel von apis wie parse, stackmob, google oder bing maps in ihren phonegap-Projekten verwenden.

Answer 3

Ihr spezieller Technologie-Stack unterscheidet sich nicht von anderen Webanwendungen. Sie werden immer noch anfällig für eine große Anzahl von Schwachstellen sein.

Von den Geräuschen, Sie sind nur besorgt über die Client-Seite Sicherheitslücken, die Sie berücksichtigen sollten. Wenn dies der Fall ist, gibt es eine Reihe von Dingen, die Sie berücksichtigen sollten.

1. Wenn Sie HTML5 verwenden, stellen Sie sicher, dass alle von Ihnen verwendeten lokalen APIs geschützt sind. OWASP verfügt über eine gute Liste der zu befolgenden Best Practices. https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet Nur einige davon sind möglicherweise auf Ihre spezifische Anwendung anwendbar.
2. Jede Art von Verteidigung, die Sie für XSRF oder CSS (Cross-Site Scripting oder XSS) implementieren werden, wird vergeblich sein. Die einzige Art von Verteidigung, die auf der ganzen Linie funktioniert, sind solche, die auf der Serverseite der Anwendung implementiert sind (in diesem Beispiel PHP).
3. Wenn die Daten bei der Übertragung durch SSL verschlüsselt werden sollen, muss dies vom Server (SOAP-Webdienstendpunkt) verarbeitet werden. Wenn dies nicht erreicht werden kann, dann eine kompliziertere Alternative wäre, WS-Security (http://en.wikipedia.org/wiki/WS-Security)

Answer 4

Zusätzlich zu verwenden, um mit anderen Kommentaren zu folgenden ... Ich würde die Verwendung von HTTPS/SSL + vorschlagen OAUTH (oder ein anderer tokenbasierter Mechanismus) übergibt den Benutzernamen/das Passwort bei jeder Anfrage ... obwohl einfache HTTP-Authentifizierung funktioniert.