¿Asegurar el servicio web de la falsificación de respuestas?

Navega tus respuestas
0

Estoy en las etapas de planificación de mi solicitud. La aplicación funciona de esta manera

  1. El usuario compra la aplicación.
  2. Creamos el usuario y la cuenta y agregamos 100 créditos.
  3. El usuario envía una solicitud para utilizar uno de los servicios proporcionados por la aplicación.
  4. El servicio web comprueba si el usuario tiene suficientes créditos y envía una respuesta "sí" o "no" al usuario
La seguridad de

relacionada con los créditos es bastante simple, ya que verificamos los créditos en el lado del servidor, y la solicitud se enviará con la identificación única de los usuarios. Mi preocupación es la respuesta falsa. Soy bastante nuevo en los servicios web, por lo que podría estar muy lejos. Pero, ¿no sería posible para un usuario final imitar nuestro servicio web en su host local y proporcionar la respuesta "sí" a la aplicación?

    
pregunta user1698144 05.01.2017 - 20:08
fuente

2 respuestas

1

Sí, es posible que alguien pueda falsificar su servidor a un cliente. Sin embargo, eso solo introduce un riesgo para el cliente y no para su servicio.

Ya que mantendrá un registro del crédito de los usuarios en el servidor y de manera similar validará la autenticación a través del servidor, el usuario no puede causarle ningún problema a usted .

Seguramente, lo peor que podría pasar es que alguien inserte un servicio de falsificación en los clientes de otras personas para obtener credenciales. Pero hay objetivos mucho más grandes y más fáciles, no es algo de lo que probablemente te preocupes durante mucho tiempo. En cualquier caso, reduciría esa inquietud al usar HTTPS con identificación de certificado para que el navegador del cliente sepa cuándo no están en un sitio válido.

    
respondido por el Julian Knight 05.01.2017 - 21:20
fuente
0
  

¿Pero no sería posible que un usuario final imite nuestro servicio web en su host local y proporcione la respuesta de "sí" a la aplicación?

Sí. De hecho, ni siquiera necesitan imitarlo. Pueden usar un proxy y modificar la respuesta del servidor cuando está en ruta y cambiarla de "no" a "sí". Si tiene un código que no quiere que el usuario use a menos que lo hayan pagado, entonces no debería estar en su máquina hasta que lo hayan pagado. Mantenga este código en el servidor y ejecútelo allí, o permita que el usuario lo descargue en su máquina después de haber pagado.

    
respondido por el Brian Williams 06.01.2017 - 04:13
fuente

Lea otras preguntas en las etiquetas

Confusión del ataque de los pitufos ¿Qué sucede si deseo un certificado, pero NO quiero que mi dominio esté en un registro de transparencia del certificado? [cerrado]