Tag: 密钥

保护移动连接 – 存储秘密和密钥: 感谢您花时间阅读本文，我是一个年轻的开发人员，在Web项目和服务器端编码方面有一些专业经验，但我现在正在构build我的第一个移动应用程序，经过深入的研究，我没有能够澄清一些关于保护移动应用程序数据传输的问题。以下是我认为我正确理解的内容：通过实施SSL证书（以及可选的SSL客户端lockingfunction），可以在很大程度上防止在开放networking上嗅探用户信息，以及模拟其他用户（Man-in-中等等）。任何进一步的安全层旨在保护服务器，并防止有人获得您的交易结构和细节的见解。进一步的安全层包括消息authentication（例如HMAC）在处理消息之前对消息进行authentication，以及encryption以“隐藏”消息的内容。我想实施一个encryption然后HMAC进程来进一步确保交易，这是我的问题，关于这个过程：你如何存储在客户端上的密钥/秘密？我意识到这将取决于具体的应用程序，以及它希望达到的安全程度。由于这个原因，我包括一些细节：没有关于用户存储或转移（SSN，银行等）的高度敏感的信息，但应用程序处理付款，因此如果有人开始搞乱服务器，可能会导致高成本和支付系统。因此，我希望实现客户端和服务器之间的安全传输，而不是做一些不寻常或不相称的事情。我已经阅读了很多关于这个主题的内容，并且从我可以收集的内容中了解到，不pipe从哪个方式获得密钥或秘密，在某些时候它将以明文方式呈现给encryption/散列逻辑，因此有人将能够进行debugging应用程序，断点，步骤和妥协的关键/秘密。你怎么解决这个问题？什么会被认为是“合适的”（硬编码？来自表结构或其他元素？其他？）。这个问题真的是高层次和概念性的，所以我不认为这是我讨论的平台，但是无论如何，现在我编写iOS应用程序，而后端是.NET 非常感谢您的时间，任何帮助或见解将不胜感激。如果我能澄清应用程序的任何方面，我会很乐意这样做。最好的，米歇尔