如何使用Phonegap/Cordova在Android应用程序上加密cookie
我创建了一个基于Phonegap/Cordova的Android应用程序,它使用cookie,例如用于会话身份验证/自动登录。在安全审查期间,提出了这样的担忧,即如果攻击者可以控制手机,他可以读出cookie并劫持用户的会话。
有没有办法以编程方式加密设备的存储或阻止使用Android OS 4.0及更高版本访问cookie?我更喜欢(但不是坚持)一个易于与Phonegap/Cordova集成的解决方案。
共有1个答案
从安全角度来看,这绝对不是问题,因为攻击者需要获得未锁定的设备才能劫持正在进行的会话。因此,加密会话cookie的想法非常荒谬——此外,cookie将自动设置,几乎没有可能连接到那里。
即使可以对它们进行加密,当可以获得具有正在进行的会话的未锁定设备时,这也不会阻止任何事情。这一概念有缺陷,没有得到很好的考虑。
这个问题最简单的解决方案是:如果不想让Web视图将会话cookie保存到内部存储,只需不使用Web视图来获取它们,那么它显然不会保存它们。
我首先想看看概念证明,以绕过锁定设备上的加密。如果根设备启用了调试桥并禁用了屏幕锁(这将提供攻击向量),则安全问题是一个整体,而不是默认的cookie存储设施。
-
问题内容: 我有使用Phonegap基本包装程序和HTML5创建的移动应用程序。我的目标是对资产目录中的文件(JS和HTML文件)进行加密,以便解压缩APK文件并希望查看JS源代码的人无法读取它们。 好的,我知道没有绝对完美的解决方案。在解决这个问题的过程中,我已经尝试了如何解决源代码的复制保护(JS缩小,混淆等)的选项,但是我发现获取原始代码非常简单(使用JSBeautifier,firebug
-
问题内容: 如何使用Parse.com将推送通知发送到我的Cordova 3.5.0 Android应用程序。 大多数帖子似乎涵盖了我问题的某些方面,但没有涵盖全部范围(Parse / Android或Phonegap / Parse) 我实际上已经解决了这个问题,但由于需要使用各种零散的解决方案和论坛来找到答案,因此我将完整的解决方案放在此处,而且我认为Cordova / Phonegap和Pa
-
我有一个使用远程索引页面的Android Phonegap/Cordova应用程序,该页面实现了html5缓存,因此该应用程序可以离线使用。一旦用户使用活动连接启动应用程序以最初填充缓存,这将非常有效,它可以无缝工作,并且在离线时感觉非常本机。 但是,我想优雅地处理离线时第一次启动它的人,即远程页面尚未被缓存时。目前它给出了一个未找到的页面。 我可以在重定向到远程页面之前检查是否有网络连接,但这意
-
我在升级PhoneGap 1时遇到了很多问题。x app到Phonegap 3.0,至少对于Android来说是这样(我甚至还没有开始升级iOS版本)。我想如果我把所有这些东西都放在一个Q里,可能会对很多人有所帮助 所以问题是:当升级现有应用到Phonegap 3.0时,你需要注意什么? 这是一本顶级手册,深入介绍了一些细节。我正在描述Mac用户的过程,但尽管命令和工具可能不同,但Windows的
-
我有一个Angular project web app,在我使用“ng build…”构建它之后,它正在Apache web服务器中成功运行命令现在,我想让它成为Android应用程序,为此,我尝试使用Cordova。首先,我创建了一个Cordova项目,然后在www目录下,我放置了来自NG的文件。是的,在那之前我还使用了Cordova平台add android。但是,当我在模拟器或真实设备上安装
-
我是phonegap新手,想安装一个插件。有许多网站解释如何使用command