1. Dom
  2. Pytanie i odpowiedź
  3. Czy token APNS powinien być zaszyfrowany?

Czy token APNS powinien być zaszyfrowany?

2012-02-25 12 views
7

Tak więc zastanawiałem się, skoro użytkownicy wysyłają swoje tokeny APNS do dostawcy APNS, aby otrzymywać powiadomienia push, jeśli tokeny będą szyfrowane? Czy SSL jest konieczne?Czy token APNS powinien być zaszyfrowany?

Z tego, co widzę, wynika, że ​​w tokenie nie ma prawdziwych danych wrażliwych. Jeśli ktoś rzeczywiście zdążył wyczuć token od użytkownika, nadal musiałby uzyskać mój certyfikat wypychania. A jeśli udało mu się to zrobić (nie będzie ;-)), wszystko, co można zrobić, to wysyłać powiadomienia o spamie do tego konkretnego użytkownika. Czy to jest poprawne? Czy też coś mi umknęło?

Zakładam również, że nie można zidentyfikować urządzenia (lub, co ważniejsze, jego użytkownika) na podstawie tokena APNS?

Tak więc, chcę zapewnić, że jeśli ktoś wyłapie rejestrację powiadomień Push od jednego z moich klientów (rejestracja zawiera token APNS i informacje, które użytkownik jest zainteresowany, a połączenie jest nieobsługiwane, więc wszystko jest do odczytu w zwykły tekst) ...

  • wciąż musi uzyskać certyfikat moje Push, aby móc przejmować mojego klienta w żaden sposób
  • wie, że ktoś interesuje się tej informacji, ale nie ma możliwości określić, kim jest mój klient:

Czy mogę być spokojny? Z góry dziękuję!

Źródło

2012-02-25 JiaYow

Odpowiedz

4

SSL prawie nigdy nie jest złym pomysłem. Brak SSL oznacza, że ​​Twoi użytkownicy będą podatni na wszelkiego rodzaju nieprzyjemności, takie jak zatruwanie DNS, człowiek w środku lub wąchanie.

Może martwi Cię koszt certyfikatu SSL lub obciążenie serwerów? Nie wiem - ale mówię po prostu - prawdopodobnie warto się zastanowić, czy dostaniesz wynagrodzenie za dostarczenie jakiejś usługi lub zbieranie danych osobowych.

W przeciwnym razie Twoje punkty w poście były prawie poprawne. Faktem jest, że ktoś potrzebuje twojego certyfikatu wypychania, aby wysłać te wiadomości do tych użytkowników.

Również zakładam, że to nie jest możliwe, aby zidentyfikować urządzenie (lub więcej ważniejsze, jego użytkownika) na podstawie tokena APN?

Przed iOS 5, który ID było spójne we wszystkich aplikacji - tak zagregowane statystyki przedsiębiorstwa były w stanie wykorzystać identyfikator do identyfikacji konkretnego użytkownika nieco ... przynajmniej wiedzieć „jest to ta sama osoba”. Ale to się ostatnio zmieniło i teraz jest to losowy identyfikator każdej aplikacji.

Źródło

2012-02-25 23:43:17 Steve

+0

Decyzja, czy użyć SSL, nie należy do mnie (firma twierdzi, że wymagałoby to zbyt dużego wysiłku administracyjnego blahblah). Zostałem poproszony o sprawdzenie, czy używanie SSL nie spowoduje poważnych problemów związanych z bezpieczeństwem/prywatnością - co najwyraźniej nie jest prawdą. Dziękuję bardzo za szybką odpowiedź! :-) * awansuj o swoje (poprawne) obawy dotyczące nieużywania SSL * – JiaYow

Powiązane problemy

 Powiązane problemy