北(běi)京軟件(jiàn)開(kāi)發公司在招聘之前到(dào)移動開(kāi)發團隊開(§→>kāi)發過程開(kāi)始,重要(yào)的(de)是(shì)不(b ♣ù)要(yào)忽略你(nǐ)的(de)未來(lá✘‌©i)應用(yòng)程序的(de)安全。缺乏設計(jì)和(hé)實現(xiàn)移動應用(y​​♣òng)安全系統會(huì)導緻機(jī)密信息曝光(guāng),盜竊和(hé)勒索<<←這(zhè)幾個(gè)不(bù)幸的(de)後果，

如(rú)果您正在開(kāi)發的(de)應用(yòng)程序依賴于機(jī)密±♣&€數(shù)據(即财務信息),我們建議(yì)您考慮以下(xià)建議(y‌>♥ì)和(hé)執行(xíng)滲透測試,以确保最大(dà)←δ的(de)安全。

1。風(fēng)險評估

深思熟慮的(de)風(fēng)險評估是(shì)第一(yī)步,将幫助您決定是(shì)否接↓≤∏受剩餘風(fēng)險或積極作(zuò)用(yòng)最小(xiǎo)化(huà)。你(n★∑•←ǐ)應該問(wèn)你(nǐ)自(zì)己的(∞♠₹de)三個(gè)主要(yào)問(wèn)題是(shì):什(shén)麽是(shì)σ♦風(fēng)險?将會(huì)損失什(shén)$π麽?應用(yòng)程序的(de)弱點是(shì)什(shén)麽?

2。安全實現(xiàn)的(de)連續性

當涉及到(dào)移動應用(yòng)安全,沒有(yǒu)魔法法術(shù)開(kāi)發人(¥<rén)員(yuán)可(kě)以使應用(yòng→↑)程序unhackable，一(yī)旦開(kāi)發階  ∏<段結束。安全是(shì)一(yī)個(gè)過₩★ α程。它應該在計(jì)劃階段開(kāi)始,經過代碼評審和(héπλ÷)實施階段,以及發布前進行(xíng)滲透測試。

3。最小(xiǎo)特權原則

設計(jì)應用(yòng)程序時(shí),隻需要(yào)那(nà)些(xiē)絕對(dΩβuì)必要(yào)的(de)權限的(de)應用(yòng)程序的(de)核心目♦φ标。不(bù)要(yào)讓你(nǐ)的(de)用(₩✔yòng)戶想知(zhī)道(dào)“為(wèi)什(shén)麽這↑₹←"(zhè)個(gè)指南(nán)針應用(yòng)'‍★★程序需要(yào)訪問(wèn)我的(de)短(duǎn)信,呢(ne)?©∑”。細心的(de)用(yòng)戶可(kě∑∑±)能(néng)會(huì)避免應用(yòng)程序請(qǐn §≠≥g)求權限超過應用(yòng)程序的(de)功能(né​≥ng)。

4。輸入驗證

雖然電(diàn)腦(nǎo)有(yǒu)很(hěn)多(duō)殺毒軟件(jiàn)檢測和(hγ₽ é)隔離(lí)惡意組件(jiàn),通(tōng)常沒有(yǒσ§↑u)任何的(de)移動設備。确保您的(de)開(k™≤ ±āi)發人(rén)員(yuán)實現(xiàn)适當的(de)輸入檢查,∏φ×驗證輸入的(de)期望是(shì)什(shén)麽,不(b× ù)多(duō)也(yě)不(bù)少(shǎ♥♣σo),在應用(yòng)程序開(kāi)始前對(duì)其進行(xíng)處理(lǐ₩‍ )。

5。安全認證

當設計(jì)一(yī)個(gè)身(shēn)份驗證系統,•←特别注意兩種移動設備特點:情景會(huì)話(huà)<•和(hé)不(bù)方便輸入文(wén)本的(de)方法。考&←慮到(dào)這(zhè)一(yī)點,所有(yǒu)潛在風(fēng)險的(d↔↔✔↔e)适當的(de)調查應找到(dào)一(yī)個(gè)•"可(kě)用(yòng)性和(hé)安全之間(jiān)的(de)平衡。類型一(yī)個(g✔$✘è)挑戰性的(de)必要(yào)性的(de)符号可(kě)以降低(dφ$↔ī)用(yòng)戶滿意度,最終他(tā)們對(duì)公司的(de)忠誠‍±↓Ω度。

6。強密碼

除了(le)減少(shǎo)黑(hēi)客≤♥¥™的(de)機(jī)會(huì)訪問(wèn)用(yòng)戶的(de)數(shù)據,密碼γ₽≥ 加密的(de)強度影(yǐng)響。正如(rú)你(nǐ)可(kě)能($‍εβnéng)知(zhī)道(dào)的(de),加密強度取決于關鍵的(de)力量,雖然本身(shē≈→n)的(de)關鍵是(shì)經常,它應該保護的(de)幫助下(xià€&♣∏)算(suàn)法,使用(yòng)用(yòng)戶的&→(de)輸入數(shù)據。

7。密碼強度檢查

用(yòng)戶傾向于選擇弱但(dàn)方便和(hé)±≤•快(kuài)速輸入密碼而不(bù)是(σ₽λshì)容忍的(de)動蕩進入安全密碼每次解鎖裝置。因此,如(r>♥ú)果安全是(shì)項目的(de)主要(yào™®☆☆)優先事(shì)項之一(yī),不(bù)要(yào)相(xiàσ↓ng)信用(yòng)戶和(hé)考慮實現(xiàn)密碼強‍δ度檢查器(qì)。

8。數(shù)據保護

選擇哪些(xiē)數(shù)據你(nǐ∏&♠)實際上(shàng)需要(yào)存儲:存儲越少(shǎδ•o),就(jiù)越需要(yào)保護。數(shù)據存儲是(shì)一(yī)個(gè)必須為(©☆★♣wèi)您的(de)項目,堅持認為(wèi)應該加密和(hé)加密密鑰應該由用(yòng)戶每©®✘次輸入,或者至少(shǎo)不(bù)會(huì)被存儲在設備上(s♣↑hàng)。

9。遠(yuǎn)程擦除

擦是(shì)一(yī)個(gè)有(yǒu)用γε(yòng)的(de)和(hé)有(yǒu)✔₹效的(de)技(jì)術(shù),數(shù)據保護,但(d♥ ∑àn)卻不(bù)是(shì)萬靈藥。它可(kě)以很(hěn)容易地(dì)手無寸鐵(tiěγ♠↔)的(de),隻要(yào)關閉設備或網絡連接。γ₩​↔

10。數(shù)據加密

“加密”這(zhè)個(gè)詞往往被用(yγα♠òng)作(zuò)同義詞安全解決方案,然而被盜的(de)數(shù)量和(hé)破譯信用(yò≥<δng)卡号碼每年(nián)持續增長(cháng)。因此,一(y↕'ī)個(gè)關鍵的(de)問(wèn)題∑×↓需要(yào)考慮的(de)不(bù)是(shì)使用(yòng)哪種加密技(jì)術(sh♣§∞ù),而是(shì)如(rú)何正确地(✘↑"λdì)實現(xiàn)它。

11。加密密鑰的(de)保護

為(wèi)了(le)保護加密密鑰,是(shì)不(bù)夠的(d×↓↕e),僅僅依靠标準平台的(de)措施,比如(rú)iOS的(de)鑰匙π<扣和(hé)Android的(de)SharedPreferences文(wén)件(jiàn$β♦)。第一(yī)件(jiàn)事(shì)你 σπ<(nǐ)應該與開(kāi)發人(rén)員(yuán)討(tǎo)論的(de)可(kě∞‍)能(néng)性外(wài)存儲的(de)關鍵設♦'δ≠備。

12。雲服務的(de)風(fēng)險

如(rú)果你(nǐ)選擇雲服務作(zuò)∑←為(wèi)外(wài)部存儲,不(bù)要(yào)忘記他(tā)們應該小(xiǎo)心使☆↑'≤用(yòng)。盡管雲服務有(yǒu)很( ‌♥hěn)多(duō)優勢,雲并不(bù)總是(shì)最好(hǎo)的(de)解決方案φ♣♠"的(de)安全性。即使你(nǐ)與領先的(de)服務提供商合♣•×作(zuò),像亞馬遜網絡服務,Rackspace公司,婚慶産品(CenturyLink)或Equ☆>∞inix的(de),他(tā)們的(de)服務并不(bù)總是(shì)遵守安全♣→λ要(yào)求高(gāo)。如(rú)果安全是(shì)你(nǐ)的(¥♠de)首要(yào)任務,我們強烈建議(yì)使用(yòng)公司自(zì)己的(de)服務↕∞≠器(qì)。

13歲。HTTPS

總是(shì)有(yǒu)風(fēng♥↓)險的(de)信息通(tōng)過互聯網傳輸數(shù)‌ε據時(shí)攔截,e.i.通(tōng)過一(yī)些(xiē)嗅探器(qì)設備。₽₽✘使用(yòng)SSL安全協議(yì)在一(yī)個(gè)普通<♥₹☆(tōng)的(de)HTTP連接有(yǒu)助于減少( ​≤≠shǎo)風(fēng)險,因為(wèi↕↓)它意味著(zhe)數(shù)據加密。

14。安全的(de)藍(lán)牙連接

藍(lán)牙隻提供設備級的(de)安全服務,而不(bù)是(shì≤↑")用(yòng)戶級,不(bù)能(néng)限制(zhì)對(duì)敏感數(shù)據的∞↔Ω(de)訪問(wèn)授權用(yòng)戶。因此,開(kāi)發商應該提供适當的(de)安全控制(φ☆"≠zhì)提供identity-level安全特性,如(rú)用(yòng)戶身∑®σ(shēn)份驗證和(hé)用(yòng)戶授權。

15。日(rì)志(zhì):謹慎使用(yòng)

發布你(nǐ)的(de)應用(yòng¶​&)程序之前,你(nǐ)應該确保沒有(yǒu)機(jī)密信息的(de)日(r★§ì)志(zhì)。最好(hǎo)的(de)解決方案是(shì)使單獨的(de)日(rì)志(zhì‌✘'♣)進行(xíng)調試和(hé)發布版本。

16歲。測試

測試是(shì)一(yī)種常見(jiàn)的(de)和(hé)強制(zh ¥↕∞ì)性的(de)過程,幾乎沒有(yǒu)任何應用(yòng)程序可(kě)以被認為(wèi)是(<♦‌shì)完成沒有(yǒu)适當的(de)測試。然而,如(rúφ✔α)果您的(de)應用(yòng)程序包含高(gāo)度的(de)風(fēngβ™∞)險(例如(rú),它允許客戶自(zì)己的©εφ<(de)股票(piào)交易)你(nǐ)應該滲透測試添加到(dào)您的(de)列表←↕≈。在這(zhè)樣的(de)測試中,也(yě)"★→被稱為(wèi)道(dào)德黑(hēi)客,測試人(rén)員(yuán)作→$±∏(zuò)為(wèi)攻擊者并試圖妥協應用(yλ₹'òng)程序。

等等……

在北(běi)京軟件(jiàn)開(kāi)發中這(zhè)隻是(shì)一(yī)個(gè)輕快(kuài)的(de)一(yī)些('®∏xiē)問(wèn)題的(de)概述。安全問(wèn)題的(de)範圍非常廣泛。還(hái ♥₽)有(yǒu)更多(duō)的(de)東(dōng)西(x ¶ε♣ī)需要(yào)我們去(qù)學習(xí)φ®σ™。