管理在线业务的安全性可能是一个非常困难的命题。经常有受感染的计算机、专门用于窃取流量以获取用户凭据的欺骗站点以及拒绝服务攻击。毫不奇怪,连接到云的移动应用程序也可能成为恶意黑客的严重目标。然而,软件开发人员可以做很多事情来防止他们的移动应用程序受到损害。云应用程序的安全性比我们想象的要重要得多。
移动应用
移动应用程序不会像这些应用程序通过“应用商店”发布那样容易通过创建恶搞网站而受到攻击。但是,仍然有可能做出令人信服的仿冒产品来愚弄毫无戒心的用户。您可以采取一些措施来防止这种社会工程类型的攻击。
也就是说,您应该确保您的所有移动应用程序都带有您的公司名称(或应用程序品牌名称)的明确品牌,并且不要更改此名称。不要让营销部门声称一个新名称会给整个公司的产品线带来新鲜的活力。当产品更改名称时,它只会让用户感到困惑,并让用户准备好更改名称,这完全是一个虚假产品。如果这个名字很糟糕并且没有获得任何市场牵引力,那么,无论如何,继续改变它。
软件包
有些人总是会越狱他们的移动设备,以摆脱他们从应用商店购买所有软件的要求。很多时候,有一些方便的软件包是用户离不开的。但是,它确实为他们的移动设备感染病毒开辟了一条直接的途径,就像他们的个人电脑一样。如果用户下载键盘记录程序,您无能为力,因为他们的用户名和密码总是会被盗。但是,您可以减轻恶意用户可能造成的一些损害。实现这一点的主要方法是在服务器基础架构中为用户目录使用基于日志的文件系统。它将允许用户文件回滚到以前的时间。
这一切都很好,有利于缓解,但你要确保你在一个安全的平台上运行。
使用经过验证的真实身份验证和加密方法,例如 TLS 和 SSL。不要使用纯文本身份验证,即使对于应该在 PC 上使用的基于 Web 的系统也是如此。不要使用众所周知的不安全协议,例如 FTP,并认真研究您正在使用的任何特殊网络协议。
HTTPS 和 SSH/SCP
HTTPS 和 SSH/SCP 支持您会发现的最有效的加密形式。您可能认为应该使用 IRC 聊天服务器进行多用户通信。但是,IRC 具有明文身份验证。用户倾向于重复使用密码。这意味着任何人都可以监听连接并获取用户凭据。
所有这些方法都是阻止妥协的有效方法,但它们并不孤单。有时,您确实必须对安全漏洞做出反应,并且应该为任何灾难做好准备。这就是减轻损害如此重要的原因,而基于日志的文件系统等系统可能是一些最强大的工具。但是您不想花费时间和金钱从黑客攻击中恢复。因此,请确保您使用正确的身份验证和加密,坚持公认的品牌,并提供用户交互以建立与客户的信任。