من در حال توسعه یک برنامه تلفن همراه برای iOS و اندروید هستم که به علت مشخصاتی که توسط مدیریت ارائه شده است، برخی از نقص امنیتی وجود دارد. با این حال، من نمی توانم به طور کامل در کسب و کار بتنی توضیح دهم که چرا مشخصات خصوصی نیستند و بنابراین من نمی توانم آنها را متقاعد کنم که نیازهایشان را تغییر دهند.
بعضی از زمینه ها؛ هنگامی که ثبت نام کاربر را پیاده سازی می کنیم، دو گزینه برای انجام این کار وجود دارد: شماره تلفن همراه را پر کنید (و تأیید SMS را فعال کنید یا با فیس بوک ارتباط برقرار کنید. Backend یک API RESTful است.
اولین عیب این است که هنگامی که ما با فیس بوک ارتباط برقرار می کنیم، هنوز هم می خواهیم کاربر یک نام کاربری و رمز عبور را در برنامه ایجاد کند. تنها چیزی که آنها می خواهند از ورود به فیسبوک استفاده کنند این است که برخی از اطلاعات را در فرم ثبت نام، مانند نام کاربری، به صورت خودکار پر کنید. این بدان معنی است که ورود به فیس بوک اساسا بی فایده است، زیرا پسزمینه هرگز نشانه ی موفقیت آمیز فیس بوک را نمی بیند. هنوز هم به داده های فرم ارسال می شود.
دومین نکته این است که وقتی ما با استفاده از شماره تلفن همراه ما ثبت نام می کنیم، آنها می خواهند پسورد بعد از مرحله تأیید تأیید را پر کنند. بنابراین جریان:
- با یک شماره تلفن ثبت نام کنید،
- یک تأیید اس ام اس
- دریافت رمز عبور را دریافت کنید. این به این معنی فردی است که آنها را ثبت کرده است
شماره تلفن همراه تضمین شده است همان کسی است که هم هست
تأیید گذرواژه
البته کاربر ورودی چیزی است که شما انتظار دارید – شماره تلفن و شماره تلفن و رمز عبور را پر کنید. همیشه، حتی زمانی که آنها از طریق فیس بوک ثبت نام کردند.
سوال من این است که برخی حملات که هکر می تواند برای استفاده از تنظیمات ثبت مانند این انجام دهد؟ من قصد دارم از این اطلاعات استفاده کنم تا یک مورد بنیادی تر از این باشد که چرا جریان ثبت نام باید تغییر کند.
