因為八月底九月初的時候聽了Taien的Android app security還有Kevin的IAP 第三方驗證,聽完想了想,還沒有聽過iOS security的題目,之前作過的案子,每次都喜歡用稍微不同的方法做出一樣的功能,再加上最近這半年接觸了enterprise級的app,就把自己用過的防禦方法大致上介紹一下。
分享前一天晚上在家裡錄的
這次的重點是在防禦而不是在攻擊,只是要防禦之前要先知道可能會有哪些攻擊手法,所以簡單列了一些工具。
在講http request/response那邊的時候,台下有提問說為什麼要這麼麻煩,直接用SSL就好。我的想法是:
這是賭一口氣,就算沒有用SSL也要讓對手看得到吃不到,也是種火力展示。
有些步驟不單單只是加密,而是把資料簡化,減少傳輸量。
當然要作到更誇張就是只開TCP連線,再加上定義好的flag簡化傳輸資料,精簡到每個package都錙銖必較的程度。
在我講完之後,後續也聽了好幾個犀利的talk,尤其是在安全性上面更進一步講解,可惜是live demo,沒有投影片,這也應該是在座20幾個人才有的福利吧。
沒有留言:
張貼留言