セキュリティjQuery Mobile + Phonegap

Question

私はスマートフォンとタブレット用のHTML5を開発しています。現在は、Html 5、CSS、jQuery Mobile、PhoneGapのプロジェクトに参加しています。

アプリケーションは、XMLHttpRequest経由でSOAP Webサービスを介してサーバーと通信します。そして初心者は、プラグイン、データ暗号化などに頼らざるをえない場合、アプリケーションでセキュリティの問題を起こさなければならないことをどのように心配しているのかを知りたがっています。

検証ユーザー名とパスワードはフォームを使用していません。ページ間でパラメータを渡さないでください。私はPHPを使用していない。 AndroidとiOS用に開発しているため、コードの可視性を迂回するように機能するかどうかはわかりません。

私の経験の浅い人のために、Webサービスの他の方法にアクセスするためのユーザー名とパスワードを保存するために、.Jsのグローバル変数を使用しています。 どこから起動し、続行し、終了するかわからないので、このセキュリティ問題に関するヘルプをリクエストしてください。

ありがとうございます！

Answer 1

利用できるのPhoneGap &セキュリティの非常に詳細な内訳はである：あなたがデータの「空中」の送信を懸念している場合は、同じ方法で、あなた、SSLを使用してサーバーを使用し、簡単に言えばhttps://github.com/phonegap/phonegap/wiki/Platform-Security

Webアプリケーションで使用します。デバイスの暗号化が懸念される場合は、オペレーティングシステムのデフォルトのセキュリティメカニズムに委任されます。

Answer 2

webappsと同じセキュリティと考慮事項と、あなたのphonegapプロジェクトのparse、stackmob、google、またはbingマップのようなapisからの秘密鍵を使用しないでください。

Answer 3

あなたの特定の技術のスタックは他のウェブアプリケーションと変わりません。あなたはまだ多くの脆弱性に対して脆弱になるでしょう。

その音から、クライアント側の脆弱性だけを考慮する必要があります。このような場合は、考慮すべき事項がいくつかあります。

1. HTML5を使用している場合は、使用しているローカルAPIがすべて保護されていることを確認してください。 OWASPには、ベストプラクティスの良いリストがあります。https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheetこれらのうちのいくつかのみが、ご使用のアプリケーションに適用可能かもしれません。
2. XSRF、またはCSS（クロスサイトスクリプティングまたはXSS）のために実装しようとする防衛の種類は無駄になります。ボード全体で機能する防御の唯一のタイプは、アプリケーションのサーバー側（この例ではPHP）に実装されているものです。
3. また、データをSSLで転送中に暗号化する場合は、サーバー（SOAP Webサービスエンドポイント）で処理する必要があります。これを達成できない場合は、より複雑な代替方法が、WS-Security（http://en.wikipedia.org/wiki/WS-Security）

Answer 4

を使用することです。HTTPS/SSLの使用を推奨します+ OAUTH（または他のトークンベースのメカニズム）が各リクエストとともにユーザー名/パスワードを渡すことになります。単純なHTTP認証が機能しますが