¿Cuáles son las prácticas recomendadas por la industria para proteger la información del usuario en una aplicación de Android?

4

Estoy desarrollando una aplicación para Android que potencialmente manejará datos confidenciales del usuario, y algunos de ellos pueden incluso considerarse datos médicos (por ejemplo, altura, peso, alergias, etc.).

¿Cuáles serían las prácticas de seguridad recomendadas para proteger los datos del usuario tanto desde la perspectiva del cliente como desde el lado del servidor?

No estoy hablando de las prácticas necesarias para obtener certificaciones gubernamentales, sino de prácticas sólidas, probadas y recomendadas para la protección de la información de los usuarios.

Por ejemplo, en el lado del cliente, cifrar la base de datos (con SQLCipher ¿quizás?) en todo momento, y simplemente descifrar la información cuando sea necesario . Si parte de esta información es para dejar el dispositivo, entonces SSL sería una necesidad. Nunca almacene la contraseña de un usuario. Manejo de la sesión de autenticación, etc. Problemas con el almacenamiento en caché, ¿debo almacenar en caché el acceso frecuente o descifrarlo desde db cada vez que sea necesario?

En el lado del servidor, el hash y la distribución de las contraseñas en lugar de almacenar contraseñas de texto sin formato también es estándar en la industria.

Puntos de bonificación por referencias o explicaciones sobre cómo para implementar correctamente dichas prácticas.

Aclaración: no estoy diciendo que las prácticas de ejemplo mencionadas anteriormente son de hecho buenas prácticas, es solo para ilustrar el tipo de prácticas generales de las que estoy hablando.

    
pregunta Acapulco 06.02.2014 - 16:38
fuente

1 respuesta

3

Antes de responder esto, tengo que decir algo.

La seguridad es una faceta del desarrollo que no puede simplemente "ala" , especialmente si está tratando con datos médicos de usuarios confidenciales. Si bien los atributos que ha enumerado probablemente no se incluyen en HIPPA, si garantiza ciertas garantías a los usuarios y los datos se ven comprometidos, es posible que tenga problemas legales. Si su seguridad falla, no es algo que pueda parchear y mejorar todo; sus usuarios perderán confianza y su reputación sufrirá.

Si esta es una aplicación seria en la que planea ganar dinero, entonces invierta en ella adecuadamente y contrate a alguien que sepa de seguridad para consultar o ayudar en el proceso de diseño / prueba. Si solo es un proyecto divertido y sientes que "deberías tener algo de seguridad", te recomiendo que vuelvas a evaluar lo que estás planeando.

Para responder realmente a tu pregunta , comenzaré indicándote a OWASPs Mobile Security Project para Android . Esto debería darle suficiente información para leer para explicar las dificultades más comunes. Para obtener recursos más formales, O'reilly casi siempre tiene un libro sobre el tema en el que se encuentra. Eche un vistazo a [Seguridad de aplicaciones para la plataforma Android]. 2

Buena suerte.

    
respondido por el Daisetsu 07.02.2014 - 03:00
fuente

Lea otras preguntas en las etiquetas