Estoy buscando Aplicaciones de una sola página que se utilizan tanto para el desarrollo móvil (PhoneGap) como para los sitios web normales.
Dado que la aplicación se puede cargar desde una copia sin conexión , puede ejecutarse desde http://localhost
, o se puede empaquetar como una aplicación visible en Apple App Store o Android Play Store (etc.), el enfoque estándar de configuración de credenciales para el usuario y acceso a los recursos es diferente.
Es decir, Microsoft tiene una infraestructura completa que habilita OAuth para aplicaciones nativas (aunque no veo si / cómo se dirigen a las aplicaciones SPA).
Pregunta
-
¿Las aplicaciones de SPA son más o menos inmunes a CSRF, XSS u otros ataques normales?
-
¿Qué sucede con las aplicaciones SPA incorporadas en PhoneGap o alguna otra aplicación?
-
Dado que las aplicaciones SPA pueden leer los datos REST en las URL que se le pasan, ¿qué protecciones existen desde el teléfono o las aplicaciones web normales que responden de esta manera?
-
¿Hay conceptos erróneos acerca de cómo hacer aplicaciones de SPA que conducen a vulnerabilidades de seguridad? (He visto a menudo a los desarrolladores de aplicaciones preguntar cómo usar el "cifrado" de Javascript en lugar de HTTPS aquí)
-
¿Son las preocupaciones de autenticación diferentes? (Uso de sesión de HTML5 frente a parámetros pasados a la segunda página de SPA)
No he visto mucha discusión sobre esta nueva forma de desarrollar una aplicación a la luz de la seguridad, y sospecho que hay muchos errores de seguridad aquí.