Android Güvenlik Sorusu
-
Mürit ve Müridelerim..
Şöyle bir sorum olacak Güvenlik adına şu önlemleri aldım..
xx/xxx.php'e Post ederken bir Token gönderiyorum.. Kabaca SendArray şu şekilde
TOKEN : x341kl123n12,
Kayit: Deneme,
Islem: OK ,
UserID:5
bu 3 parametreyi gönderiyorum ve eğer gönderilen token Veritabanında mevcut ise ve UserID uyuşuyor ise Auth okey veriyorum..
Birde Gönderdiğim verileri şifrelemek istiyorum.. Giriş yaparken Veritabanından bir token ve bir Key göndereceğim X Key olsun.
BU key'e göre bir şifreleme algoritması oluşacak.. Örneğin Key 5 diyelim Gönderilen tüm String Ifadelere ASCI Koduna 5 eklenerek gönderilecek.. Ve gönderilen veri sunucu tarafında 5 çıkarılarak çözülecek ..
Uygulama Decompile edildiğinde benim Şifreleme algoritması kabak gibi ortada olacak (Decompile etmek de zor bişey değil zaten) hal böyle iken adam tersine mühendislik yaparak Şifreli verileri çözebilecek.
Bunun bana çokça eksi yanı var..
Bunların önüne nasıl geçebilirim ? Yada Eklemem gereken başka güvenlik yöntemleri mevcut mudur ?
he birde SQLite Şifreli
-
SSL sorunu çözmüyor mu? Hiç web servis için ssl kullanmaya ihtiyaç duymadım ama:
https://developer.android.com/training/articles/security-ssl.html
https://stackoverflow.com/questions/26454441/how-to-secure-calling-webservice-in-android
https://stackoverflow.com/questions/15786674/php-ssl-client-certificate-authentication
https://cweiske.de/tagebuch/ssl-client-certificates.htm
-
SSL mevcut fakat sadece ssl yeterli olacağını sanmıyorum öyle olsa şifrelemeye gerek kalmazdı hiç :/
-
ben anlamadım olayı ? Trafiğini mi şifreleyeceksin yoksa kullanıcı bilgilerini mi ?
https://defuse.ca/php-pbkdf2.htm
Yoksa kodunu mu obfuscate edeceksin -
Trafiği şifreleyeceğim GET POST request parametrelerin hepsini.
-
Eğer clientteki sertifikayi denetlersen güvenli olur. Yoksa kendi kripto apini yazmak... Bilmem ki, yazabiliyorsan yaz:)
-
MhmdAlmz bunu yazdı
Trafiği şifreleyeceğim GET POST request parametrelerin hepsini.
SSL bu işe yaramıyor mu zaten :(
-
Yahu ne kızıyorsunuz SSL Yeterli ise bi sorun olacağını düşünmüyorum fakat yeterli değilse sıkıntı büyük diye konuyu actım :(
Teşekkürler cevaplar için JWT + SSL işi görecektir umarım :/
-
SSL'de sertifika doğrulaması yapman lazım hocam araya girilmemesi için. Parmakizi doğrulaması yapabilirsin cihaz tarafında. Doğrulama olayı yapmazsan araya girildiğinde tekrar kabak gibi çıkıyor herşey ortaya.
-
Parmak izi doğrulaması derken ? uygulamaya her girişte parmak izi mi alacağım ?