¿Cómo proporcionar de forma segura el contenido web solo para el lado del cliente al móvil con comodidad?

Navega tus respuestas
0

Para una implementación de cliente de criptomoneda, estoy sirviendo una aplicación web de una sola página para clientes móviles. Es una página solo para el lado del cliente.

Me gustaría servir esta página a los clientes, pero me temo que los hosts los modifiquen para cambiar el código y que las contraseñas de los usuarios sean interceptadas. Las contraseñas, al menos 128 bits de entropía aplicada, son semillas de claves de firma de criptomonedas.

Desafortunadamente, y esto puede ser erróneo, parece que los navegadores móviles no pueden abrir y ejecutar archivos html locales, o si pueden, no pueden ejecutar archivos css o js.

Soy consciente de las aplicaciones que lo permiten, pero prefiero que sea el último recurso para llegar a los menos expertos.

¿La única opción para administrar físicamente un servidor para lograr la conveniencia deseada?

    
pregunta 16.07.2014 - 23:15
fuente

2 respuestas

1

No entiendo exactamente contra qué está tratando de defenderse (vea mi comentario más arriba).

Pero de cualquier manera, si desea servir html + css + js localmente, puede usar Cordova para empaquetar su aplicación web como una aplicación cliente. Entonces también podrías subirlo al mercado. (También puede usar los controles del navegador web del sistema operativo para implementarlo usted mismo en lugar de usar cordova)

Tu otra alternativa es alojar tus cosas en la web, probablemente utilizando PAAS como la opción de hospedaje preferida.

    
respondido por el aviv 17.07.2014 - 08:06
fuente
0

Siempre que hay un problema de seguridad, generalmente es un problema de diseño más que un problema de implementación.

Le preocupa que los clientes puedan robar las contraseñas de otros usuarios manipulando, localmente, la aplicación. Esto solo es posible si les está dando acceso gratuito a las contraseñas. ¿Cómo se autentican? ¿Cómo robarían las contraseñas de otros usuarios?

Debido a que cada usuario es local y está preocupado por sus propios datos locales, no debería ser posible manipular la aplicación para hacer algo malicioso (si tiene llamadas REST completas a un servidor, por ejemplo, solo asegúrese de que haya algunos niveles de autenticación del servidor. Solo envíe los datos a los clientes si los datos están destinados a los clientes y nunca podrán manipularlos.)

Sin embargo, suena como si actualmente no operas ningún servidor de back-end o autenticación, por lo que solo puedo asumir que el usuario ha hecho todos los datos generados, y a menos que estés almacenando un archivo localmente de todos los usuarios. / contraseñas (¡lo cual no parece factible de todos modos!), no tendrán acceso a ninguna otra contraseña o información.

Otra forma de pensar acerca de esto es que: si cada cliente está aislado y no se conecta a un servidor, no se autentica (o se autentica de manera local), entonces no hay nada de qué preocuparse porque los clientes nunca pueden acceder a los otros clientes.

    
respondido por el Corinthius 17.07.2014 - 11:58
fuente

Lea otras preguntas en las etiquetas

¿Los ataques de diccionario solo usan entradas específicas de un diccionario, o combinaciones de una entrada? ¿Cuál es la estrategia utilizada por la tienda itunes y Google Play para proteger e instalar de forma segura aplicaciones en dispositivos elegibles?