現在、Android用のPhoneGapアプリを開発中です。アプリケーションは、当社の企業に公開されているWindowsのWebサーバーに保存されているhtmlファイルを指し示します。このアプリは、私たちのサーバーに保存されているファイルや情報にアクセスできるようにします。アプリソースファイルに「推測できない」URLを使用する
アクセスするデータは機密性の高いデータとはみなされませんが、依然としてプライベートである必要があります。
アプリをできるだけシンプルにするために、ユーザーが強制的にログインする必要がない場合は便利です。 HTMLファイルを推測できないURLで公開するには十分安全だと考えられますか? URLはアプリにプログラムされ、アプリは指定した携帯電話にのみインストールされます。
あいまいさによるセキュリティはまれにしか解決できません。私は答えます。
ファイルへのアクセスを許可する前にアプリを認証する必要があります。これは、ユーザーがログインする必要があるという意味ではなく、アプリにアクセス権があることを意味します。
同じ正確な質問ではありませんが、類似のものはありませんhttp://stackoverflow.com/questions/5340252/how-can-i-design-a-secure-api-authentication-for-mobile-apps-to-access-a-サービス –
パブリックWi-Fiでアプリが使用されている場合、パケットスニッファを使用すると誰でも問題のURLを特定できます。プライベートという言葉が言及さえあれば、私は、あいまいさによるセキュリティはそれをカットしないと言います。ユーザーが一度(1ヶ月に1回)入力するだけで済むように、資格情報をキャッシュできますか?
十分に安全であれば、URLを推測するのは難しいと思うはずです。これは、URLのGUIDをリソースに使用することで実現できます。これは接続と同じくらい安全です。したがって、HTTPを使用している場合、真ん中の誰でもURLを見てからリソースにアクセスできます。それが問題の場合は、HTTPSの使用を検討する必要があります。
これはかなり曖昧な質問です。 「十分に安全」とはどういう意味ですか?おそらく、これはあなたの会社のセキュリティチームの質問です。 –
曖昧さを残して申し訳ありません。私は、私たちの状況に「十分に安全」を意味しました。つまり、われわれが明白な開かれたドアを出ていない限り、単純さと引き換えにリスクを冒すことを意味します。私はセキュリティチーム、非常に小さな会社です。 – mikmik