Mobile, WebServices y SSL

Question

Mobile, WebServices y SSL

#1 de Xander (1 votos)

1

Acabo de empezar a sumergir mis pies en seguridad y SSL. Miré varios videos para tratar de entender cómo sucede la magia y ahora tengo la idea general, pero la mayoría de ellos se ocupan de tomar el ejemplo del navegador y el servidor. Con respecto a los dispositivos móviles, no encontré mucha información.

Supongo que las preguntas son tontas para los veteranos, pero aquí están de todos modos:

Si obtengo un certificado SSL para el servidor web en el que están alojados mis servicios web, ¿necesito cambiar el código de mi aplicación móvil? Además de usar HTTPS en lugar de HTTP al llamar al servicio.
Si la teoría es la misma que en un navegador, ¿cómo se cifran los datos? Me refiero a quién lo está haciendo? Los navegadores lo hacen al acceder a un sitio web seguro. Pero en el caso de mi aplicación, ¿lo hará el teléfono?

tls mobile

pregunta doodla 20.10.2014 - 12:34

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls mobile

Lea los certificados SSL con el proceso del usuario ¿Qué tipo de Wifi es seguro de usar?

score 1 · Answer 1

En términos generales, no, no tendrá que hacer nada más que cambiar el protocolo (http a https) para cifrar el tráfico de su aplicación. La mayoría de las bibliotecas de clientes web admiten ambos protocolos de forma transparente.

Algunas cosas adicionales a considerar como desarrollador de aplicaciones móviles:

No deshabilite las rutinas de validación de certificados, ni detecte y descarte errores. Desafortunadamente, esto es común en las aplicaciones móviles y destruye completamente los beneficios de seguridad del uso de SSL / TLS en primer lugar al permitir que MitM capture y descifre el tráfico sin ninguna advertencia al usuario.
Considere la fijación de certificados. Esto requiere un poco de trabajo adicional de su parte, pero mejora la seguridad al garantizar que no solo el certificado utilizado para proteger el tráfico de los usuarios sea un certificado válido, sino que es su certificado, el certificado específico que espera para usarlos. Esta es una medida de seguridad adicional que puede o no estar garantizada, depende de lo que esté protegiendo, pero vale la pena echarle un vistazo.