保护移动应用免遭攻击的5个步骤

标签: 移动开发 | 发表时间:2014-12-10 15:07 | 作者:IT江湖
出处:http://www.itjhwd.com


苹果CEO库克在公司的全球开发者大会上指出,注册的移动应用开发者已经超过了九百万,较去年增长了47%。有更多的个人把他们的技能和创新带到了这个行业,虽然这是值得激动的,但是开发者和新应用的猛增也带来了日益增长的恶意工具的威胁。

对于开发者而言,有必要熟悉最新的安全实践。这有助于你维护自己的声誉,让你把精力放在开发有创新的app上,而不是因疏忽所导致的、用户数据被连累的潜在事故上。

很多开发者错误地认为移动领域对于威胁是有免疫力的。这种错误的安全意识导致一些开发者减少了预防措施的投入,导致严重的信息破坏,比如今年早些时候的 Fandango app 。真实情况是,app安全和web安全一样重要。移动app是一家企业安全领域的切入点,确保这扇大门得到有效防护的责任,落到了开发者肩头。

甚至用心良苦的开发者也不擅长必要的用户保护措施。我经常听到使用非常抽象的术语讨论安全。开发者认为,“我已经确保我的app是安全的了”,但是很多人不知道那意味着什么、或可用的资源有哪些。

我喜欢分享保护app的五个步骤,这是我推荐给开发者的:

  1. 重新思考安全,并融入到开发中 。我看到的、经常犯的一些错误,集中在把安全隔离在流程中的单独一步。安全还应该是整体的、系统化的。当开发者试图在开发结束时混乱拼凑安全计划时,缺口常常就打开了。我还经常看到,很多开发者在他们代码的安全部分做得非常不错,但是他们忽略了后退一步,以审视整个代码库。

  2. 了解基础知识 。早期重要的一个步骤是学习基础的安全威胁。开放网页应用安全计划(OWASP)的  前10项移动风险 是价值连城的资源。它详细列出了10种对于移动应用最危险的安全威胁。每年都会更新,我们应该定期参考一下。这对于新手尤其重要。它或许是基础的,但是遵循OWASP的建议,你可以把应该采取的措施与其并行使用。

  3. 使用行之有效的方案 。不要重复发明轮子。所有主流的操作系统都有NIST认证的加密框架,它们已经经过专家严格检验了。试图自己开发框架的开发者,经常面临易于攻破的结局。

  4. 保护好已存储数据(data at rest) 。已存储数据的处理是个脆弱的地方,尤其在你收集一些敏感数据时。让你的存储数据免受攻击,有很多选择,比如尽可能早地删除数据、在生产环境关闭不需要的数据、以及实施一种不对称加密的方案。后者确保了已存储数据是安全的,因为能够解密这些数据的私钥从来不会真正出现在设备上。

  5. 执行证书锁定(certificate pinning) 。  苹果在iOS和OS X上的问题 和“goto fail”的bug是所有开发者应该吸取的教训。这个bug绕过了SSL认证、而没有验证证书是可信任的。使用SSL固然重要,如果你不能确信你的证书,那还是不够的。你需要确保你真正验证了返回到资源的证书,  以避免请求过程中的任何攻击 。

随着智能手机和平板变成我们首选的屏幕,移动应用上的攻击也在增长。如果你的下一个app没有正确地规划,即使它获得了划时代的成功,也是无关紧要的。对安全地开发保持警惕,保护的不只是使用你app的人,还有你自己的声誉和职业前景。

(原文: 5 Steps to Protect Mobile Apps from Attacks,译者:腊八粥)


相关 [移动应用 攻击] 推荐:

保护移动应用免遭攻击的5个步骤

- - IT江湖
苹果CEO库克在公司的全球开发者大会上指出,注册的移动应用开发者已经超过了九百万,较去年增长了47%. 有更多的个人把他们的技能和创新带到了这个行业,虽然这是值得激动的,但是开发者和新应用的猛增也带来了日益增长的恶意工具的威胁. 对于开发者而言,有必要熟悉最新的安全实践. 这有助于你维护自己的声誉,让你把精力放在开发有创新的app上,而不是因疏忽所导致的、用户数据被连累的潜在事故上.

五个步骤,保护移动应用免受恶意攻击

- - 博客园_新闻
英文原文: 5 Steps to Protect Mobile Apps from Attacks. Apple CEO Tim Cook 在今年六月的全球开发者大会上提到过,Apple 公司已有 900 万注册开发者,相比去年增长了 47%. 这一数据告诉我们,越来越多的人将自己的技能和创造力投入到了这个行业之中,不过伴随着爆发式开发者和应用数量增长而来的是对这些应用进行恶意攻击.

移动应用排行榜

- - 曉生語錄
根据2011年中国ios应用下载排行榜整理出的表格,并分为四类:. 第一类.PC端的附属产品,指的是在发布移动应用在PC端已经有成熟的产品,移动应用是为了覆盖用户的零碎的使用时间,产品架构是提炼了PC端的主要功能. 第二类.同样的PC端的附属产品,但是移动应用利用了移动设备自身特性,并可能成为增加用户量的主力产品.

移动应用表单设计秘籍

- - 落花流水——elya妞╰_╯
一直想写一篇文章,关于移动应用表单设计的,可惜最近项目很忙,忙到没有时间打理博客. 最近体验产品的时候,经常看到错误的的表单设计,要么信息混乱,要么步骤繁复、要么语言程序化,要么视觉焦点跳跃,要么校验顺序混乱,要么反馈不及时,如此种种的问题,让我很想认真的总结一下,思考一下,为移动应用的表单设计,提供一些个人力所能及的建议,希望更多地设计师能认真思考移动应用表单的特殊性,能最大限度的提升表单设计的体验,提升效率,提高满意度.

移动应用注定无法长久?

- - cnBeta.COM
移动应用的历史是一个漫长而痛苦的过程,一开始是简单复制台式机的做法,然后窘迫地认识到,这种方式不太可行. 其实,这是一切事物进步的方式,不仅在技术领域,艺术和音乐也遵循类似的模式,复制、延伸,最后发现一个新的模式. 要摆脱旧的范式,需要耗费一段时间. 移动应用显然是成功的,并且在某些情况下,其盈利非常可观.

移动应用推广八法

- - CocoaChina移动观察
文/ John Koetsier. 如果一棵树在森林中轰然倒下,是否会有人听到. 如果你的应用出现在一个拥挤不堪的市场中,是否会有人注意到它呢. 虽然我所开发的应用目前都有数十万的下载量,但遗憾的是,上述问题的默认答案是“不会”. 事实上,最近的一项调查表明,有60%的应用以零收益而告终. 如果你不想让自己的应用沦落在这60%之中,那么不要指望什么运气,一定要采取实际的行动去争取.

移动应用广告的未来

- - 月光博客
  移动应用内置广告已经成为移动广告市场主流,但是现在相对滞后的广告模式(广告条、广告墙等)却制约了移动应用广告市场的发展,那么我们应该采用哪些更新颖的应用广告模式呢.   2007 年苹果发布 iPhone 和 App Store 掀起移动互联网的第一波浪潮,近两年随着移动应用开发门槛也逐渐降低和移动互联网发展再加速,人们获得信息的方式发生改变,移动应用逐渐成为移动设备第一载体.

HTML5 杀不死移动应用

- clowwindy - 月光博客
  苹果在其对抗 FLASH 的过程中,是否让自己也限了进去. 通过明文禁止 Flash 应用到 iPad 和 iPhone 上,苹果迫使 Web 开发人员不得不放弃采用 Flash 技术. 可以说,苹果和乔布斯为 Adobe 公司的放弃移动 Flash 业务的最终决定“提供了很有价值的参考意见”.

jQuery Mobile开发HTML5移动应用

- - HTML5研究小组
随着移动互联世界的到来,目前已发展到多种移动 操作系统割据的局面,而开发者则急需要能运用原有的开发知识和技能,快速方便地构建移动应用程序,并期望能运行在不同的 手机操作平台上,比如Android,iOS,黑莓等. 而目前,出现了一批十分优秀的支持HTML5/CSS3的移动应用开发框架,其中最为大家熟悉的是jQuery Mobile框架(http:// jquerymobile.com),它可以让熟悉jQuery框架的开发者快速开发出基于HTML5的移动应用,而且直接通过 手机的浏览器即可浏览.

移动应用开发小贴士

- - ITeye资讯频道
严格说来本文是针对iOS应用进行介绍的——在未来一段时间内iOS应用开发无疑仍会是热门,因此,不管是对开发者还是企业管理人员来说,或多或少了解一些应用开发流程十分必要——不过本文涉及的大部分内容其实并不局限于iOS应用,同时也适用Android、Windows Mobile和Blackberry等其他移动平台.