1. Inicio
  2. Pregunta y respuesta
  3. ¿Se deberían cifrar los tokens APNS?

¿Se deberían cifrar los tokens APNS?

2012-02-25 11 views
7

Entonces, me preguntaba, dado que los usuarios envían sus tokens APNS al proveedor APNS para recibir notificaciones push, ¿deberían encriptarse los tokens? ¿Es necesario SSL?¿Se deberían cifrar los tokens APNS?

Por lo que creo es que no hay datos realmente confidenciales en el token. Si alguien realmente lograra oler el token de un usuario, aún tendría que obtener mi certificado push. Y si logró hacer eso (no lo hará ;-)) todo lo que pudo hacer fue enviar notificaciones de spam a este usuario en particular. ¿Es eso correcto? ¿O me perdí algo?

Además, supongo que no es posible identificar un dispositivo (o más importante, su usuario) basado en un token APNS?

Por lo tanto, quiero asegurar que si alguien olfatea un registro de notificación de inserción de uno de mis clientes (el registro contiene el token APNS y la información que le interesa al usuario, y la conexión no está cifrada para que todo sea legible en texto plano) ...

  • todavía tiene que obtener mi certificado empuje para ser capaz de molestar a mi cliente de ninguna manera
  • sabe que alguien está interesado en esta información, pero no tiene manera de identifique quién es mi cliente

¿Puedo estar seguro? ¡Gracias de antemano!

Fuente

2012-02-25 JiaYow

Respuesta

4

SSL casi nunca es una MALA idea. La falta de SSL significa que sus usuarios serán susceptibles a todo tipo de maldad como envenenamiento de DNS, hombre en el medio, o husmeando.

Tal vez le preocupe el costo de un certificado SSL o la sobrecarga de sus servidores? No lo sé, pero solo digo, probablemente valga la pena considerarlo si le pagan por proporcionar algún servicio o están recopilando información de identificación personal.

De lo contrario, sus puntos en la publicación fueron muy acertados. El hecho es que alguien necesitaría su certificado push para enviar esos mensajes a esos usuarios.

Además, supongo que no es posible identificar un dispositivo (o más importante, su usuario) basado en un token de APN?

Antes de iOS 5, que el DI fue consistente en todas las aplicaciones - empresas estadísticas agregadas de manera fueron capaces de utilizar el ID para identificar a un usuario específico algo ... por lo menos saber "Esta es la misma persona". Pero eso cambió recientemente, y ahora es una identificación aleatoria por aplicación.

Fuente

2012-02-25 23:43:17 Steve

+0

La decisión de usar SSL no es mía (la compañía dice que requeriría demasiado esfuerzo administrativo blahblah). Solo me preguntaron si no usar SSL daría lugar a problemas importantes de seguridad/privacidad, que aparentemente no es el caso. ¡Muchas gracias por la respuesta rápida! :-) * upvote por sus preocupaciones (correctas) sobre no usar SSL * – JiaYow

Cuestiones relacionadas

 Cuestiones relacionadas