¿Es una aplicación móvil más segura para el uso móvil que el sitio web "normal"?

Question

¿Es una aplicación móvil más segura para el uso móvil que el sitio web "normal"?

#1 de rook (3 votos)
#2 de Rory Alsop (2 votos)
#3 de D.W. (1 votos)
#4 de SilverlightFox (0 votos)

9

Un usuario final no entrenado que utiliza un navegador web móvil es vulnerable a la suplantación de identidad (phishing) y no puede verificar fácilmente la autenticidad (o seguridad) de un sitio web entre otros temas . Además, es muy fácil evitar que incluso un usuario experto detecte MITM ocultando el ícono de HTTPS, reemplazándolo con un favicon o muchos otros trucos ya que la mayoría de los navegadores ocultan completamente la URL completa.

Es una aplicación nativa (quizás con certificado / certificado de raíz validación ) realmente la única forma de lograr una interacción segura con mis servicios de back-end a través de HTTPS?
¿Debo capacitar a mis usuarios finales para que no utilicen un navegador web y utilicen una "aplicación" que esté codificada en mi URL y, opcionalmente, haga una validación de certificado adicional para reducir el riesgo de MITM?
¿Debería mi servidor web llegar tan lejos como para detectar una sesión móvil e impedir que se autentiquen?

web-application tls phishing mobile

pregunta random65537 09.03.2012 - 16:32

fuente

4 respuestas

Lea otras preguntas en las etiquetas web-application tls phishing mobile

¿Cómo puede YouTube identificar a los usuarios anónimos? Inyección de Class.forName e invocación del constructor

score 3 · Answer 1

No . No hay absolutamente ninguna diferencia.

Al final del día, debe exponer la capacidad de los clientes para consultar información y hacer cambios de estado. Los problemas que una API que usa un dispositivo móvil son muy similares a los problemas que usa una API que usa un navegador javascript / html.

Aún tiene problemas como referencia de objeto directa insegura y sql injection .

score 2 · Answer 2

Una aplicación web y un navegador web tienen el mismo problema: un atacante puede subvertir los datos que envían o reciben.

No alentaría a un usuario a que use una aplicación en un navegador; lo tomaría de la manera incorrecta en que una empresa intentó forzarme. Puede que no quiera instalar una aplicación, como parte de mi política de seguridad.

score 1 · Answer 3

Si eres un desarrollador de sitios web que busca proteger a tus usuarios contra el phishing, hay algunos pasos que puedes tomar.

El paso clave que daría es no confiar en las contraseñas . Puede utilizar, por ejemplo, una cookie persistente segura, enviada a través de HTTPS, para autenticar al usuario. La autenticación de certificado de cliente SSL sería otro ejemplo de un método de autenticación de usuario que es resistente a los ataques de phishing porque no se basa en contraseñas. Si lo prefiere, también puede solicitar una contraseña, pero no debe confiar únicamente en una contraseña ingresada en un navegador móvil. Hay dos razones para esto: primero, las contraseñas son phishable y, como usted dice, los mazos se apilan contra los usuarios; y segundo, ingresar las contraseñas en un dispositivo móvil es una mala experiencia para el usuario, dado el estado de la mayoría de los teclados.

Si usted es un usuario que busca protegerse, hay un conjunto diferente de defensas disponibles, como usar una aplicación dedicada, lanzar el sitio desde un marcador y ese tipo de cosas. Sin embargo, probablemente no sea factible que los operadores de sitios web esperen capacitar a todos sus usuarios para que sigan esos pasos.

score 0 · Answer 4

Sí, en cierto modo, como un móvil puede proteger las sesiones de los usuarios un poco más.

es decir,

No hay riesgo de phishing, ya que la aplicación móvil solo se conecta a su propia API.
No hay problemas de dominio cruzado (CSRF, ataques SSL que requieren solicitudes de dominio cruzado como POODLE o BREACH).
Si no se utilizan los controles web, no hay riesgo de XSS.
No hay problemas con la Política del mismo origen con las cookies (ya que las cookies HTTPS y HTTP tienen el mismo origen), por lo que las MITM no las pueden envenenar con HTTP simple (consulte esta respuesta para más detalles).

El inconveniente es que el usuario tiene que confiar en usted un poco más, ya que está instalando una aplicación totalmente ejecutable en su dispositivo en lugar de algo tan aislado como una sesión web.