Autore Topic: Mettere in sicurezza le URLs  (Letto 2837 volte)

Offline mitsus

  • Nuovo arrivato
  • *
  • Post: 11
  • Respect: 0
    • Mostra profilo
  • Dispositivo Android:
    Motorola RAZR HD
  • Play Store ID:
    mitsusdev
  • Sistema operativo:
    Debian 6
Mettere in sicurezza le URLs
« il: 27 Novembre 2013, 16:34:48 CET »
0
Ciao ragazzi,
su questo tema ho certo molto sul web e alla fine ho trovato solo pareri pressochè comuni. Non si puo'!
Insomma mi chiedevo se è possibile in un qualche modo mettere in sicurezza le URLs delle mie APIs o cmq una parte delle URLs...per esempio alcuni paramentri passati in GET, per evitare che colui che un giorno la decompilerà non le usi per "sbagarmi" il server.

Qualcuno si è posto le mie stesse domande? Ho pensato ad un meccanismo oAUTH2, ma nel mio caso non c'è interazione utente, nel senso che non richiedo l'inserimento di username & Password per accedere a certi dati.

Grazie a tutti.

Offline bradipao

  • Moderatore globale
  • Utente storico
  • *****
  • Post: 4043
  • keep it simple
  • Respect: +567
    • Github
    • Google+
    • bradipao
    • Mostra profilo
  • Dispositivo Android:
    Nexus 5
  • Play Store ID:
    Bradipao
  • Sistema operativo:
    W7
Re:Mettere in sicurezza le URLs
« Risposta #1 il: 27 Novembre 2013, 18:23:39 CET »
0
Qualcuno si è posto le mie stesse domande? Ho pensato ad un meccanismo oAUTH2, ma nel mio caso non c'è interazione utente, nel senso che non richiedo l'inserimento di username & Password per accedere a certi dati.

Non ho ben chiaro cosa intendi con "sbagarmi".

Tuttavia, se parli di DDOS, è un problema di qualsiasi server e non serve a niente mettere al sicuro gli URL.
Se parli di leggere/scrivere dati nel tuo server, allora il controllo dell'identità dell'utente diventa fondamentale (non necessariamente con user e pwd, ad esempio con l'UUID unico del device, ma dipende dalla tua applicazione).
NON rispondo a domande nei messaggi privati
Bradipao @ Play Store

Offline drucks87

  • Utente junior
  • **
  • Post: 50
  • Respect: +1
    • Mostra profilo
  • Dispositivo Android:
    Huawei ideos
  • Play Store ID:
    drucks team
  • Sistema operativo:
    Windows 7
Re:Mettere in sicurezza le URLs
« Risposta #2 il: 27 Novembre 2013, 20:21:48 CET »
0
inizia ad usare il POST e non il GET e poi installa un certificato ssl

Offline mitsus

  • Nuovo arrivato
  • *
  • Post: 11
  • Respect: 0
    • Mostra profilo
  • Dispositivo Android:
    Motorola RAZR HD
  • Play Store ID:
    mitsusdev
  • Sistema operativo:
    Debian 6
Re:Mettere in sicurezza le URLs
« Risposta #3 il: 27 Novembre 2013, 22:02:20 CET »
0
Non ho ben chiaro cosa intendi con "sbagarmi".

Tuttavia, se parli di DDOS, è un problema di qualsiasi server e non serve a niente mettere al sicuro gli URL.
Se parli di leggere/scrivere dati nel tuo server, allora il controllo dell'identità dell'utente diventa fondamentale (non necessariamente con user e pwd, ad esempio con l'UUID unico del device, ma dipende dalla tua applicazione).

Si intendo un DOS, dovuto in realtà alla possibile decompilazione dell'APK. Non voglio che siano facilmente leggibili le URLs che leggono i dati del mio DB remoto.

Buona l'idea di accompagnare la richiesta in GET con un UUID del device, ma non saprei come evitare che l'inserimento di un UUID qualsiasi possa bloccare un tale tentaitvo di Hacking. Dovrei bloccare le richieste troppo "onerose" provenienti sempre da uno stesso UUID?

Post unito: 27 Novembre 2013, 22:03:31 CET
inizia ad usare il POST e non il GET e poi installa un certificato ssl
Non migliorerebbe il problema. Il mio non è un tentativo di blocco di un attacco Man in The Middle.

Offline drucks87

  • Utente junior
  • **
  • Post: 50
  • Respect: +1
    • Mostra profilo
  • Dispositivo Android:
    Huawei ideos
  • Play Store ID:
    drucks team
  • Sistema operativo:
    Windows 7
Re:Mettere in sicurezza le URLs
« Risposta #4 il: 28 Novembre 2013, 10:37:36 CET »
0
migliorerebbe sicuramente la sicurezza.

per il tuo problema è tutto lato server, prima di tutto che server hai scelto? S.O.?

Offline mitsus

  • Nuovo arrivato
  • *
  • Post: 11
  • Respect: 0
    • Mostra profilo
  • Dispositivo Android:
    Motorola RAZR HD
  • Play Store ID:
    mitsusdev
  • Sistema operativo:
    Debian 6
Re:Mettere in sicurezza le URLs
« Risposta #5 il: 28 Novembre 2013, 10:51:40 CET »
0
migliorerebbe sicuramente la sicurezza.

per il tuo problema è tutto lato server, prima di tutto che server hai scelto? S.O.?
S.O. Linux Centos 6.2 64 bit

Offline Melanogaster

  • Utente normale
  • ***
  • Post: 260
  • Respect: +11
    • Mostra profilo
  • Dispositivo Android:
    SII
  • Sistema operativo:
    Kubuntu
Re:Mettere in sicurezza le URLs
« Risposta #6 il: 28 Novembre 2013, 11:28:50 CET »
0
Nella mia app gli url sono chiaramente ben leggibili nel sorgente, quel che ho fatto é criptare i dati in entrata ed in uscita dal server (inviati in POST), ed ad ogni richiesta passo un parametro univoco che identifica l'utente...salvato criptato nel DB con una chiave differente da quella usata per criptare i dati in uscita verso il server :D

Offline drucks87

  • Utente junior
  • **
  • Post: 50
  • Respect: +1
    • Mostra profilo
  • Dispositivo Android:
    Huawei ideos
  • Play Store ID:
    drucks team
  • Sistema operativo:
    Windows 7
Re:Mettere in sicurezza le URLs
« Risposta #7 il: 28 Novembre 2013, 17:02:42 CET »
0
Nella mia app gli url sono chiaramente ben leggibili nel sorgente, quel che ho fatto é criptare i dati in entrata ed in uscita dal server (inviati in POST), ed ad ogni richiesta passo un parametro univoco che identifica l'utente...salvato criptato nel DB con una chiave differente da quella usata per criptare i dati in uscita verso il server :D

ottima soluzione!

cosa usi per criptare? qualche libreria già pronta? algoritmo usato per la criptazione?

Offline Melanogaster

  • Utente normale
  • ***
  • Post: 260
  • Respect: +11
    • Mostra profilo
  • Dispositivo Android:
    SII
  • Sistema operativo:
    Kubuntu
Re:Mettere in sicurezza le URLs
« Risposta #8 il: 28 Novembre 2013, 19:35:31 CET »
0
Adesso mi sfugge quale avevo usato, ma mi pare comunque AES :)
Avevo trovato i segmenti di codice pronti e confezionati tramite google, non ti sarà difficile reperirli comunque

Offline jagam

  • Nuovo arrivato
  • *
  • Post: 17
  • Respect: 0
    • Mostra profilo
Re:Mettere in sicurezza le URLs
« Risposta #9 il: 29 Novembre 2013, 00:35:31 CET »
0
In genere io utilizzo non mettere url 'in chiaro' nel codice, utilizzo una mia classe per generare l'url attraverso dei parametri da me imposti che poi passo alla richiesta di connessione al server. Un'alternativa potrebbe essere anche quella di immettere l'url come stringa criptata e alla richiesta di connessione decriptare e avviare il collegamento.

Prova quella a te più comoda.

Inviato dal mio citofono