¿Cómo proteger el sitio web móvil para que no se encapsule en aplicaciones móviles nativas no autorizadas?

3

Estamos desarrollando una aplicación móvil (m.website.com).

¿Hay alguna forma de evitar que un desarrollador deshonesto construya una aplicación nativa de IOS / Android que simplemente encapsule nuestro sitio web en la aplicación usando Webkit para realizar ataques de compensación de IU o clickjacking?

(Sabemos que el encabezado HTTP "X-Frame-Options: Sameorigin" es efectivo en el escenario de un sitio web malicioso que encapsula (encuadra) otro sitio web, pero ¿cómo prevenir la encapsulación con una aplicación móvil nativa?)

    
pregunta MGagnon 08.12.2015 - 16:08
fuente

2 respuestas

3

Un usuario no puede confiar en una página web que está dentro de una aplicación en la que no confía .

Por lo tanto, si hubo un ataque de reparación de la interfaz de usuario contra su sitio web al usar una aplicación en particular, esto sería culpa del usuario por confiar en la aplicación.

Además, si un desarrollador de aplicaciones quisiera que los usuarios hicieran clic en algo en su sitio usando el teléfono, simplemente lo codificarían en su aplicación. No necesitarían que el usuario lo hiciera. Los navegadores dentro de las aplicaciones utilizan un conjunto diferente de cookies que el navegador del teléfono, por lo que esto no afectaría a ninguna de las sesiones existentes del usuario. Habrían tenido que iniciar sesión en su sitio en la ventana del navegador de la aplicación, y en ese punto, una aplicación fraudulenta podría simplemente haber cosechado las credenciales de todos modos.

    
respondido por el SilverlightFox 09.12.2015 - 12:02
fuente
0

Correcto, la configuración de X-Frame-Options es una buena idea, pero confía en que el navegador lo aplique. No puedes defenderte contra un navegador que no sea de confianza.

Lo que te queda es vigilar las tiendas de aplicaciones para aplicaciones que pretenden ser tú.

    
respondido por el Mark Koek 09.12.2015 - 14:51
fuente

Lea otras preguntas en las etiquetas