Postado por Esfera em Destaque, Mobile | 0 Comentários
Aplicativo: 7 propriedades de um aplicativo móvel seguro
Para construir aplicativos móveis fortes e seguros, os desenvolvedores devem prestar atenção em muitos detalhes. Os principais erros cometidos durante a construção ocorrem em gerenciamento de sessão. Muitas vezes, esses erros não apresentam um risco significativo, porém é comum ocorrerem muitos erros juntos, o que torna um aplicativo totalmente vulnerável.
Pensando nisso, buscamos sete dicas para alertar os desenvolvedores e profissionais de segurança sobre os erros mais comuns cometidos na hora de desenvolver um aplicativo móvel.
7 dicas para um aplicativo seguro:
1. Expirar sessões
Os desenvolvedores geralmente permitem que sessões de aplicativos móveis permaneçam ativas por um tempo muito longo para que os usuários não tenham que logar novamente. No entanto, enquanto a sessão estiver ativa, crackers podem fazer pedidos maliciosos para o servidor. Assim, os desenvolvedores estão trocando segurança por um pequeno inconveniente para os usuários.
2. Não confiar no cliente.
O servidor deve desconfiar de cada solicitação da aplicação, tratando-o como um possível ataque de carga. Assim, o servidor deve confirmar a veracidade de cada solicitação.
3. Exigir criptografia
Para evitar que os atacantes sejam capazes de ler as comunicações wireless a partir de um dispositivo móvel, use SSL para criptografar o cliente e exigir um certificado móvel que pode ser validado.
4. Não permitir solicitações repetidas
Atacantes podem reproduzir solicitações interceptadas. O impacto resultante pode variar entre ser meramente uma irritação e ter consequências desastrosas. Os desenvolvedores podem evitar pedidos repetidos usando um NONCE. O cliente gera um número aleatório para cada solicitação. O servidor mantém o controle desses números para garantir que os pedidos sejam verdadeiros e não sejam re-executados.
5. Guardar segredo
Um segredo compartilhado conhecido apenas pelo cliente e servidor, e utilizado pelo cliente para assinar as solicitações, impede que o servidor aceite aquelas que foram modificadas.
6. Limitar a quantidade de tempo que uma solicitação é válida.
Quanto mais tempo um pedido é válido, maior o risco de um intruso interceptá-lo e modificá-lo. Todos os pedidos devem ser tempo verificados no lado do cliente e expirados após um período de tempo, tal como definido no lado do servidor. Se ocorrer uma repetição de NONCE, então o servidor sabe que o pedido é inválido. A lista de valores aleatórios armazenados no servidor podem ser minimizados com o uso de um timestamp.
7. Não autorizar pedidos modificados
Em vez de repetir um pedido, um atacante pode optar por modificá-lo. Por exemplo, o cracker pode transferir dinheiro para uma conta diferente. Isto pode ser evitado por meio de um segredo compartilhado ou com o uso de chaves de criptografia. Criando um HMAC do pedido e enviando-o ao servidor com o pedido permite que o servidor confirme que o pedido não foi modificado.
Nós, da Esfera Informática oferecemos ótimos serviços de Mobile. Somos especialistas no desenvolvimento de aplicativo móvel. Conheça nossos serviços!
Fonte: UOL