我有一个简单的 IM/聊天程序。 Android 客户端通过 HTTP 将用户名和消息发送到我的服务器(以及用于跟踪 session 的 JSessionID)。我想避免恶意用户以另一个用户的身份发帖。
我是否需要担心有人在咖啡馆里坐在用户旁边,窥探他们的 JSessionID 并以我的用户身份发帖?或者,在我第一次联系服务器并最初获取我的 JSessionID 时,窥探我发送给服务器的用户名+密码?
窥探/嗅探有多大影响?如果是,我该如何防范?
最佳答案
在可公开访问的 WLAN 上 - 是的,当然。在 3G 网络上 - 也许吧。这是可能的,但相当昂贵,而且脚本小子通常无法使用。
既然你不能确定,用户是使用WLAN还是3G,你就要做好防范。有一些好的做法: - 使用 https - 不要在设备上存储用户凭据(改为使用 0auth)
必要时多疑
关于Android Snoop Sniff Protection - 需要吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8416005/