Ich entwickle ein Backend für eine mobile Anwendung, die Node.js verwendet, um HTTPS-Anfragen zu bearbeiten. Ich habe ein SSL eingerichtet, um eine Verbindung vom Client zum Server herzustellen, und habe mich gefragt, ob dies sicher genug ist.Sichere HTTPS-Verbindung zum Node.js-Server vom Client
Ich habe keine Erfahrung mit dem Abfangen von Endpunkten von den mobilen Geräten, aber ich habe gesehen, dass es für Menschen möglich ist, Internetverkehr von ihren Mobiltelefonen zu überwachen und Endpunkte zu Serveranforderungen abzurufen. Ich habe Hacks auf Zunder gesehen, wo Leute Antwort JSON sehen und sogar Swipes automatisieren können, indem sie http Anfragen an Endpunkte von Zunder senden.
Meine wirkliche Sorge ist, dass Leute Daten auf meinem Backend aktualisieren/lesen/ändern können. Ich kann OAuth2 auch in mein Schema implementieren, aber ich sehe immer noch Fälle, in denen Leute das System missbrauchen könnten.
Meine Hauptfrage ist, ob die Verwendung von HTTPS sicher genug ist, um meine Daten zu schützen, oder ob ein Sitzungsauthentifizierungssystem wie OAuth2 benötigt wird.
Danke.
Cool das ist hilfreich. Was passiert, wenn der Hauptteil der HTTP-Anfrage ausgeblendet ist? Zum Beispiel würde die URL https://www.example.com/transfermoney heißen, aber der Body würde Werte wie FROM enthalten: Kyle TO: BazzaDP. – Kyle
Egal. Es ist sehr einfach, eine Nachricht wie diese zu konstruieren. Kinder spielen für jeden mit etwas Computererfahrung. Plugins existieren beispielsweise für Chrome (z. B. Advanced REST Client). Es ist eine Schlüsselregel der Sicherheit, Benutzereingaben nicht zu vertrauen und sie zu verifizieren (z. B. zu überprüfen, ob die angemeldete Person berechtigt ist, von Kyle aus eine Sitzungs-ID zu senden, ist nicht leicht zu fälschen). –
Ok danke für diese Erklärung. Ich habe viele Fragen beantwortet, die ich über die Sicherheit einer node.js-App hatte. – Kyle