我正在编写一个 Apple iOS 应用程序,用于登录帐户并获取一些余额。它使用纯 html 链接进行登录:
用户名和密码在运行时动态加载到登录链接。
我使用 Wireshark 嗅探了流量,但在发送的任何包中都找不到用户名或密码。我猜“https”的 SSL(?) 东西已经加密了查询。
我是我没错吧?这是安全的方法吗?还有其他想法吗?我应该如何处理应用程序中的密码以避免安全问题?是否已缓存?如果我希望应用程序记住我的密码,是否需要对其进行加密?
尽管正如 Sjoerd 指出的那样,技术上是安全的,但这只是great用于社会工程。在网吧里:“该死,那是一篇很酷的文章。你能尽快通过电子邮件给我发送 URL 吗?”
你不会相信有多少人为这种东西所倾倒。
另一个缺点是浏览器倾向于缓存 URL,因此在多人访问同一台计算机的情况下又非常不安全。
更好的方法是使用HTTP 基本身份验证 http://www.ietf.org/rfc/rfc2617.txt或者至少通过 HTTP POST 数据。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)