Как защитить api от перехвата?

Question

deleted-mezhevikin @deleted-mezhevikin

Как защитить api от перехвата?

Есть приложение на ios (objective-c) и серверная часть на laravel 5 (php).
Как реализовать защиту api от перехвата через сниферы?
Насколько я понял нужно подписывать запрос на клиенте и проверять его на сервере.
Буду благодарен за любые ссылки-туториалы по этой теме.

Вопрос задан более трёх лет назад
1141 просмотр

2 комментария

Подписаться 9 Оценить 2 комментария

Пригласить эксперта

Ответы на вопрос 2

5 комментариев

Илья @766dt

Добавлю только что со стороны клиента подделать можно абсолютно все, и ключ/соль из приложения достать тоже не особая проблема. Чтоб усложнить жизнь неофициальным клиентам можно периодически менять ключи в приложении/на сервере. Но если пользователь будет обновляться с задержками, то это принесет боль и нормальному пользователю.

Как вариант поступать можно наоборот - не запрещать, но отслеживать несанкционированные обращения к api, а потом блокировать их источник.

Написано более трёх лет назад
Alex M. @reeder

Я считаю что не достаточно переход на просто HTTPS желательно реализовать шифровку данных между клиентом и api.

Написано более трёх лет назад
Константин @unity_ultra_hardcore

Alex M.: вероятно "шифрование" а не "шифровку"? Как это поможет, если злоумышленник получит код клиента и восстановит алгоритм шифрования?

Написано более трёх лет назад
Alex M. @reeder

да верно "шифрование" публичным ключом, так никто не сможет перехватить трафик. и еще зачем шифровать колючем который кому то известен. вшей ключ в приложение и все.

Написано более трёх лет назад
z0rgoyok @z0rgoyok

Alex M.: вся фишка в анализе кода, видимо тут никак не спастись (

Написано более трёх лет назад

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

iOS

+1 ещё

Средний
Есть ли рабочий видео-плеер с поддержкой RTSP для React Native?
- 1 подписчик
- 17 нояб.
- 40 просмотров
0

ответов
iOS

+1 ещё

Средний
Есть ли рабочие и бесплатные SDK видео плееров с поддержкой RTSP для IOS?
- 1 подписчик
- 17 нояб.
- 39 просмотров
1

ответ
iOS

Средний
Как дополненная реальность (AR) в iOS поможет мне в покупках или играх?
- 1 подписчик
- 12 нояб.
- 32 просмотра
2

ответа
iOS

+1 ещё

Средний
IPhone 14 постоянно перезагружается сам по себе после обновления iOS 18.1?
- 2 подписчика
- 07 нояб.
- 250 просмотров
1

ответ
Веб-разработка

+2 ещё

Средний
Как преобразовать сайт в приложение на iOS бесплатно?
- 1 подписчик
- 04 нояб.
- 466 просмотров
2

ответа
iOS

+3 ещё

Простой
Почему не работает VPN SSL на iOS?
- 1 подписчик
- 25 окт.
- 77 просмотров
1

ответ
iOS

+1 ещё

Простой
Отличия ios backend и web backend?
- 1 подписчик
- 22 окт.
- 115 просмотров
3

ответа
iOS

Средний
Как сделать так, чтобы WebView Capacitor отправлял заголовок Referer на iOS?
- 1 подписчик
- 18 окт.
- 18 просмотров
0

ответов
macOS

+2 ещё

Средний
Как заставить VPN работать на macOS и iOS?
- 1 подписчик
- 16 окт.
- 327 просмотров
2

ответа
iOS

+1 ещё

Средний
Какой корректный формат смс сообщения для определения в нем OTP кода?
- 1 подписчик
- 15 окт.
- 127 просмотров
2

ответа
Показать ещё Загружается…

iOS-разработчик

MOST

от 150 000 ₽

Разработчик мобильных приложений iOS/Android

Asphera Tech

от 30 000 ₽

QA Engineer / Инженер по тестированию (iOS, watchOS)

AURA Devices

от 150 000 ₽

Сайт для оценки видеоролика в реальном времени

25 нояб. 2024, в 13:53

150000 руб./за проект

Разработка и поддержка на Битрикс: УС

25 нояб. 2024, в 13:48

1500 руб./в час

Написать алгоритм на assembler для процессора sharc adsp21060

25 нояб. 2024, в 13:42

2500 руб./за проект

А что именно нужно защищать? Передаваемые данные? От чего, от кражи самих данных или от подделки? API работает через https?
Илья: 1. важно чтобы только официальный клиент имел возможность обращатся к api. 2. через https

Answer 1 · 2015-04-20 00:44:25

Чтобы защититься от снифферов достаточно перейти на HTTPS.
Чтобы ограничить неофициальные клиенты запрос можно подписать. Обычно каким-то образом однозначно сериализуют запрос, хешируют его на клиенте заранее известной солью и передают этот хеш в запросе. Серверу эта соль также известна и он повторяет эти действия, после чего сравнивает полученный с отправленным клиентом.
Но это всё ерунда: при наличии желания и физического доступа к джейлбрейкнотому айфону алгоритм формирования подписи можно выковырять из приложения за разумное время.

Answer 2 · 2015-04-19 19:08:52

xmoonlight @xmoonlight

https://sitecoder.blogspot.com

CRAM-MD5

Ответ написан более трёх лет назад

2 комментария

Как защитить api от перехвата?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт