close

一開始丟了一個關於登入的程式碼,問說你覺得這樣寫有什麼問題。

接著開始實作,首先是架設 Web server,作者直接拿 Google appengine 來當 Web Server,原因是方便架設、有限度的免費而且寫起來很快,這邊花了不少篇幅來介紹。
中間介紹了一小段關於 Web Service、REST的歷史以及 Web Application 架構,然後帶了一段 Android app + Web app 登入的範例。

介紹 OWASP 、2010 年的十大漏洞以及十大建議,前一陣子有去上過恆逸的的課程,有介紹到 2011 年的十大漏洞,這兩年的十大漏洞都差不多。

回頭介紹認證的機制,作者一直強調 SSL 很好,但不能全然相信,不管是 trusted CA 或是自己簽發的 CA,因為還是有所謂的 MitM 存在,所以作者又介紹了 MitM (其實跟維基百科上的很相似)。

在 OAuth 之前,如果網站要使用其他網站服務,勢必要在該網站提供帳號跟密碼,而這可能會有風險。OAuth 則是改為在要使用其他網站服務時,導向到服務提供者的網站去,讓使用者決定要不要提供服務給這個網站,允許的話,才可以。網站拿到的是一個 token,而非帳號跟密碼。這邊有一張 OAuth 整個過程的圖片,解釋的很清楚。

最後是介紹 Challenge/Response with Cryptography,這有點類似 OAuth,傳送的資料以密碼來加密,相關的範例會在第八章出現。

More about Android Apps Security



arrow
arrow
    文章標籤
    oauth mitm owasp 心得 心得與感想 感想 讀書筆記
    全站熱搜
    創作者介紹
    創作者 elleryq 的頭像
    elleryq

    我。閱讀

    elleryq 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄