Tak więc zastanawiałem się, skoro użytkownicy wysyłają swoje tokeny APNS do dostawcy APNS, aby otrzymywać powiadomienia push, jeśli tokeny będą szyfrowane? Czy SSL jest konieczne?Czy token APNS powinien być zaszyfrowany?
Z tego, co widzę, wynika, że w tokenie nie ma prawdziwych danych wrażliwych. Jeśli ktoś rzeczywiście zdążył wyczuć token od użytkownika, nadal musiałby uzyskać mój certyfikat wypychania. A jeśli udało mu się to zrobić (nie będzie ;-)), wszystko, co można zrobić, to wysyłać powiadomienia o spamie do tego konkretnego użytkownika. Czy to jest poprawne? Czy też coś mi umknęło?
Zakładam również, że nie można zidentyfikować urządzenia (lub, co ważniejsze, jego użytkownika) na podstawie tokena APNS?
Tak więc, chcę zapewnić, że jeśli ktoś wyłapie rejestrację powiadomień Push od jednego z moich klientów (rejestracja zawiera token APNS i informacje, które użytkownik jest zainteresowany, a połączenie jest nieobsługiwane, więc wszystko jest do odczytu w zwykły tekst) ...
- wciąż musi uzyskać certyfikat moje Push, aby móc przejmować mojego klienta w żaden sposób
- wie, że ktoś interesuje się tej informacji, ale nie ma możliwości określić, kim jest mój klient:
Czy mogę być spokojny? Z góry dziękuję!
Decyzja, czy użyć SSL, nie należy do mnie (firma twierdzi, że wymagałoby to zbyt dużego wysiłku administracyjnego blahblah). Zostałem poproszony o sprawdzenie, czy używanie SSL nie spowoduje poważnych problemów związanych z bezpieczeństwem/prywatnością - co najwyraźniej nie jest prawdą. Dziękuję bardzo za szybką odpowiedź! :-) * awansuj o swoje (poprawne) obawy dotyczące nieużywania SSL * – JiaYow