Video: 019 Recette de kanelboller (Listopad 2024)
Když v pondělí píšeme Mobile Threat, často vám říkáme o další aplikaci pro Android, která všude šíří vaše osobní údaje. Někdy je to kvůli inzertním platformám třetích stran integrovaným do aplikací, ale jindy jsou to prostá špatná rozhodnutí vývojáře aplikace. Stačí se podívat na Starbucks a jejich trapnou epizodu.
Jared Blake, technický ředitel společnosti Moki, se posadil, aby nám řekl pět jednoduchých věcí, které vývojáři mohou udělat, aby vylepšili své aplikace a vyhnuli se titulkům jako Starbucks.
1: Používejte HTTPS pro všechno
Zdá se, že mnoho vývojářů při vytváření svých aplikací ignoruje SSL, když hovoříme z osobních zkušeností s pondělním pokrytím Mobile Threat. Blake říká, že je to prostě nepřijatelné. Řekl, že komunikace by měla být „vždy prováděna v HTTPS. Není to prostě žádný dobrý důvod.“
Zabezpečení komunikace pomocí SSL překonává řadu běžných útoků, jako jsou útoky typu člověk-uprostřed. Pokud to všechno zní dobře, je to proto, že o tom pořád mluvíme. Blake říká, že vývojáři musí přijmout HTTPS, „i když máte pocit, že jste trochu paranoidní.“
2: Nepokoušejte se vynalézat své vlastní šifrování
Pokud jde o zabezpečení dat, vývojáři by se neměli snažit znovu vynalézat kolo. "Všechny hlavní operační systémy mají krypto rámce certifikované NIST, " řekl Blake. Řekl, že tyto vestavěné šifrovací knihovny jsou dobře zavedeny a byly prověřeny odborníky, takže vývojáři by je měli využít.
To je důležité, protože aplikace často obsahují kritická uživatelská data, jako jsou hesla a přihlašovací údaje. Pro tuto informaci prostý text prostě nestačí.
3: Vyčistěte si protokoly
V případě Starbucks vývojáři aplikací neúmyslně odhalili přihlašovací údaje a heslo uživatelů v souborech protokolu aplikace. To nepřekvapilo Blaka, který to vtipkoval, „vývojáři hodí cokoli do protokolu.“
Vývojáři však musí pečlivě zvážit, jaké informace do těchto souborů vstupují, což pomáhá analyzovat problémy s aplikací a zlepšit budoucí vydání.
4: Poznejte svou platformu
Spotřebitelům to může připadat zřejmé, ale Android a iOS jsou velmi odlišné platformy. Blake říká, že to zase vede k různým bezpečnostním problémům v každé platformě. To, že jste pečlivě zvážili problémy se zabezpečením v systému Android, neznamená, že vaše aplikace bude v systému iOS bezpečná.
5: Dávejte si pozor na osobní informace a své publikum
Blake křídí mnoho problémů, s nimiž se vývojáři potýkají, s osobně identifikovatelnými informacemi pro naprostou nezkušenost. Příchod mobilních aplikací přichází velmi rychle a Blake říká, že mnoho vývojářů prostě „nemyslí na dopady toho, co staví“.
Blake říká, že vývojáři se musí zeptat sami sebe, zda informace, které shromažďují jejich aplikace, jsou něčím, čeho si uživatelé budou dělat starosti, pokud budou odhaleny. Pokud ano, musí být informace pečlivě zabezpečeny - nebo vůbec nesbírány.
Spotřebitelé si musí být vědomi
Spotřebitelé samozřejmě musí být také vzděláváni. Musí pochopit, že i informace, které se zdají být všední - například telefonní číslo nebo e-mailová adresa - o nich mohou hodně prozradit. Rovněž musí pochopit, jak aplikace shromažďují tyto informace, které se v Androidu dělají většinou prostřednictvím povolení aplikace.
„Neumožňujte jen slepě tato povolení, “ řekl. „Zamyslete se nad nimi. Opravdu chci aplikaci umožnit přístup k mému uzamčení obrazovky? Mým kontaktům?“
Blake také zmínil, že ačkoli některé škodlivé aplikace proklouzávají prověrkovým systémem Google pro obchod Play, stále je to velmi bezpečné místo pro získání vašich aplikací. „Těžko mě napadá situace, kdy by někdo distribuoval aplikaci mimo obchod Play, kterou bych si chtěl stáhnout, “ řekl.
