移动手机应用程序(App)生态系统的一大好处就是它使得我们的生活更加方便和容易,而不好的一面就是这些App 越流行,它们就越有可能受到黑客的袭击。当 App 在我们的生活中扮演的角色越来越重要的时候,例如通过我们的手机进行金融交易,或者上传我们的健康数据等,我们的个人数据就越有可能发生泄漏。安全攻击不 仅会影响用户的个人信息和敏感数据,同时也会对商业、政府和军队产生巨大威胁。
因此,作为南宁APP开发公司程序的开发人员,你就有责任和义务来确保你客户的数据的安全,保证它们不会受到黑客的侵扰。而保护消费者私人数据安全的一种方法是通过安全手段来保证我们的每一次操作的安全。当开发人员在进行移动 App 开发的时候,他们需要注意以下这些因素。
1 二元认证
我们使用的密码很容易被忘记或者被黑客窃取。有时候,是因为密码太过简单,从而使得很多人都可以经过几次尝试以后猜到密码。对于那些存储有大量私人信息 的 App,一旦被黑客知道,这也就意味着巨大的损失。二元密码认证则可以帮助解决这个问题。其最常见的形式就是当你在登陆一款 App 的时候,你可以通过事先预留的邮箱或者手机来获得包含随机密码的邮件或者信息。只有当你输入这串密码的时候,你才可以登陆你的 App。那些储存有你敏感信息的 App 应该在你不使用的时候登出,当你再次使用的时候需要再次登陆,这样就会来到我们将要讨论的下一个问题。
2 用 Oauth2 来构建 Mobile API 安全系统
也许你已经听过 OAuth,这是一种用于不可信设备的用于确保 API 服务的原型,它提供令牌验证的方式来对移动用户进行授权。OAuth2 采用的这种授权方式是,它限定了授权令牌的使用时间。当用户登录移动设备的时候,用户会输入登录账号和密码,这时就会为用户创造访问令牌,并且在移动设备 进行储存。一旦访问令牌过期,使用者就需要再次登录才能继续使用。OAuth2 并不需要使用者在一个并不安全的环境下储存 API 密匙。相反,它可以产生一个访问令牌,这个令牌可以暂时储存在非信任的环境中。这种机制运行得非常好,这是因为即便黑客获得了使用者的访问令牌,它也会很 快过时。
3 安全套接层 SSL(SecureSockets Layer)
OActive Labs 研究人员Ariel Sanchez 测试了 60 家全球影响力最大的银行中的 40 种移动银行 App,其研究结果是:40% 经过审计的 App 并没有验证 SSL证书的真实性。而很多的 App(大约 90%)在整个应用中包含了一些非 SSL 链接。在这种情况下,攻击者可以拦截流量,并通过创见创建任意的JavaScript/ HTML 代码来制造一个假的登录提示,从而造成使用者信息泄露。通常情况下移动 App 不能有效地执行 SSL 验证,从而使得使用者很容易受到这方面的攻击。使用 SSL/TLS 来进行远程交流的 App 需要检查其服务证书。
4 加密
AES,即高级加密标准(AdvancedEncryption Standard),是目前用于对称密钥加密的最流行的算法之一。同时它也是一种「黄金标准」加密技术;很多具有安全意识的企业则会要求他们的雇员使用 AES-256 (256 - 比特 AES) 来进行通讯交流。事实上,公司应该使用那些经过安全组织调整的现代算法,例如具有采用 256 比特的 AES 进行加密。
当你在设计 App 的时候,如果你可以确保使用者的数据安全,那么你的 App 就会更加吸引用户,并且帮助你建立良好的安全因素。而这也会帮助你获得和留住更多的用户。
