我正在编写一个 Apple iOS 应用程序,用于登录帐户并获取一些余额。它使用纯 html 链接进行登录:
https://www.myaccount.com/login.jsp?username=myusername&password=mypassword
用户名和密码在运行时动态加载到登录链接。
我使用 Wireshark 嗅探了流量,但在发送的任何包中都找不到用户名或密码。我猜“https”的 SSL(?) 东西已经加密了查询。
我说的对吗?这是一种安全的方法吗?还有其他想法吗?我应该如何处理应用程序中的密码以避免安全问题?它被缓存了吗?如果我想让应用记住我的密码,是否需要对其进行加密?
最佳答案
尽管正如 Sjoerd 所指出的那样在技术上是安全的,但这对于社会工程学来说只是伟大。在网吧:“该死,那是一篇很酷的文章。你能尽快把 URL 发邮件给我吗?”
你不会相信有多少人爱上这种东西。
另一个缺点是浏览器倾向于缓存 URL,因此在多人访问同一台机器的情况下也是非常不安全的。
更好的方法是使用 HTTP Basic Authentication或至少 HTTP POSTing 数据。
关于ssl - https登录的安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6897586/