Sicherheit innerhalb App

R

rednose84

Neues Mitglied
0
Hallo zusammen,
vielleicht wurde diese Frage schon Millionen - Mal gestellt. Die Forensuche half mit dennoch leider noch nicht weiter. Ggf. könnt Ihr den Thread auch einfach schließen mit Hinweis aud Lösung / anderen Post.

Zum Thema: Ich werde eine App - entwickeln müssen, die u.a. eine Authentifizierung mittels eines Webservice (.NET WCF REST Service) vornimmt.

Erste kurze Frage: Genügt hier eine Kommunikation über SSL? Gibt es schwachstellen?

Weiterhin möchte ich natürlich meinen WebService so gut wie es eben geht und notwendig ist vor entsprechenden Attacken schützen. Hierzu sei gesagt das ich auch gerne Anwendungslogs über einen "Logging - Service" schicken möchte.

Zweite Frage: Wie kann ich "Attacken" verhindern?

Danke schon mal und vg
rednose
 
rednose84 schrieb:
Ich werde eine App - entwickeln müssen, die u.a. eine Authentifizierung mittels eines Webservice (.NET WCF REST Service) vornimmt.

Erste kurze Frage: Genügt hier eine Kommunikation über SSL? Gibt es schwachstellen?
Zum Vergrößern anklicken....

Eins vorneweg: SSL hat nichts aber auch garnichts mit (User)Authentisierung zu tun. SSL liefert lediglich eine Transportverschlüsselung und wenn man es richtig macht eine Host-Authentisierung via Zertifikatsaustausch.

Und ja, es gibt Schwachstellen. In der Regel geht es dabei um MitM Attacken gegen unsichere Zertifikatsprüfung oder auch gegen alte TLS Varianten. In Einzelnen zu erklären, was das ist und wie das geht, würde den Rahmen eines Android Forum Artikel sprengen, da bist du in Netzwerk/Sicherheits-Foren besser aufgehoben.

Zweite Frage: Wie kann ich "Attacken" verhindern?
Zum Vergrößern anklicken....
Attacken verhindern ist unmöglich. Du kannst bestenfalls verhindern, dass die Attacken erfolgreich sind. :D
 
  • Danke
Reaktionen: rednose84
Hi,

und wie sieht es mit Sicherheit innerhalb einer App aus? Ich habe gelesen, dass Apps so wie auch andere compilierte Programme zu decompilieren sind. Ist es so nicht dann auch möglich, überhaupt die Webservice - Adressen herraus zu bekommen? Sollte solch ein Szenario mit betrachtet und verhindert werden?

Gibt es sichere "Bereiche" àlla SecureStore / KeyChain oder ähnliches, wo man configurationsdaten "sicher" ablegen kann?

VG
 
rednose84 schrieb:
Ist es so nicht dann auch möglich, überhaupt die Webservice - Adressen herraus zu bekommen?
Zum Vergrößern anklicken....

Wenn die Sicherheit deines Webservice davon abhängt, dass keiner weiß, was die Adresse des Servers ist, dann hat dein Webservice keine Sicherheit.

rednose84 schrieb:
Hi,

und wie sieht es mit Sicherheit innerhalb einer App aus? Ich habe gelesen, dass Apps so wie auch andere compilierte Programme zu decompilieren sind. Ist es so nicht dann auch möglich, überhaupt die Webservice - Adressen herraus zu bekommen? Sollte solch ein Szenario mit betrachtet und verhindert werden?
Zum Vergrößern anklicken....

Ja, das geht. Du kannst das mit einem Obfuscator einschränken (ProGuard ist beim SDK dabei), aber letztendlich nicht verhindern. Insbesondere verbirgt ProGuard nicht den Wert von String-Konstanten.

Ich nehme an, das hier ist für dich auch noch interessant: http://developer.android.com/guide/practices/security.html
Da wird auch auf sichere Speicherung von Daten und Schlüsseln eingegangen.
 
Zuletzt bearbeitet:
Kranki schrieb:
Wenn die Sicherheit deines Webservice davon abhängt, dass keiner weiß, was die Adresse des Servers ist, dann hat dein Webservice keine Sicherheit.
Zum Vergrößern anklicken....

Ich würde da eher einen Schritt weiter gehen und meine eben nicht nur die URL (die Existenz ansich, sondern eben auch etwaige Aufrufparamter, Key's oder der gleichen) die mitgesendet werdenmpssen, um die App an dem WebService zu authentifizieren. URL soll hier nur ein Synonym sein für alle relevanten Daten die benötigt werden, um den Webservice - Aufruf auch ohne App zu gestalten.

Grundsätzlich gebe ich dir in deiner Aussage natürlich Recht. Der Webservice ansich wird schon geischert werden. Wobei ich da auch noch nach BestPractise suche. Aber das ist ein anderes Thema.

Danke Gruß
 
Verhindern kannst du das letztendlich nur, wenn die Authentifizierung über ein vom Benutzer einzugebendes Passwort läuft, was natürlich unkomfortabel ist.
Mit einem Root-Exploit und einem Decompiler ist da an sich nichts sicher, was das Gerät für sich entschlüsseln kann.

Die Frage ist halt, ob man da nicht mit Kanonen auf Spatzen schießt. Irgendwelche Access-Token zu speichern ist eigentlich gängig.
Direkt Passwort-geschützt ist eigentlich nur meine Homebanking-App.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Wie sichert Ihr Eure Zwischenstände bei der App-Entwicklung?
  • MikelKatzengreis
Antworten
3
Aufrufe
167
moin
M
Manny87
Formular als App
  • Manny87
Antworten
11
Aufrufe
166
swa00
swa00
A
Tastatureingabe innerhalb des Android Studio Emulators
  • AlexOB
Antworten
1
Aufrufe
641
swa00
swa00
Zurück
Oben Unten