Ist Ihre App sicher?
Kerry W. Lothrop
Zühlke
@kwlothrop
kerry.lothrop.de
21.	Juni	2016
„Der Store-Review wird keine
unsicheren Apps zulassen.“
Kommunikation
http:// https://
Symantec
Demo
Symantec
Meine eigene CA
Certificate Pinning
Certificate Pinning
ServicePointManager.ServerCertificateValidationCallback
= CheckCertificate;
private static bool CheckC...
Demo
App Transport Security (ATS)
<key>NSAppTransportSecurity</key>
<dict>
<key>NSExceptionDomains</key>
<dict>
<key>www.exampl...
APIs
„Dafür können Sie unseren
bestehenden Webservice
benutzen.“
„Von welcher IP-Adresse aus
werden Sie denn auf den
Webservice zugreifen?“
„Um auf den Webservice
zuzugreifen, sollten Sie diese
Zugangsdaten verwenden.“
Zugangsdaten dürfen nicht
Teil des App-Bundles sein.
Nicht die App soll
authentifiziert werden,
sondern der User.
Benutzerspezifische Tokens sollten
im sicheren Speicher des
Betriebssystems abgelegt werden.
Die Backend sollte die gleichen
Sicherheitskonzepte verwenden,
die auch von Webseiten
verwendet werden.
Wenn eine API einen
API-Key benötigt, sollte
sie aus dem Backend
aufgerufen werden.
Statische Codeanalyse
Zusammenfassung
Stellen Sie die Sicherheit
Ihrer App und Ihres
Backends in Frage.
Fragen?
Ist Ihre App sicher?
Kerry W. Lothrop
Zühlke
@kwlothrop
kerry.lothrop.de
21.	Juni	2016
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Ist Ihre App sicher?
Nächste SlideShare
Wird geladen in …5
×

Ist Ihre App sicher?

539 Aufrufe

Veröffentlicht am

Über die Sicherheit im Web wird viel diskutiert. Wie sieht es aus mit der Sicherheit von Apps? Was muss ich als Entwickler berücksichtigen, wenn ich eine sichere App entwickeln will? Wie gehe ich mit sensitiven Daten um? Wie sollte eine API aussehen, die von einer App verwendet wird? In diesem Vortrag wird auf die unterschiedlichen Sicherheitsaspekte eingegangen, die Entwickler von Apps und der korrespondierenden Infrastruktur berücksichtigen müssen.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
539
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
14
Aktionen
Geteilt
0
Downloads
6
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Ist Ihre App sicher?

  1. 1. Ist Ihre App sicher? Kerry W. Lothrop Zühlke @kwlothrop kerry.lothrop.de 21. Juni 2016
  2. 2. „Der Store-Review wird keine unsicheren Apps zulassen.“
  3. 3. Kommunikation
  4. 4. http:// https://
  5. 5. Symantec
  6. 6. Demo
  7. 7. Symantec
  8. 8. Meine eigene CA
  9. 9. Certificate Pinning
  10. 10. Certificate Pinning ServicePointManager.ServerCertificateValidationCallback = CheckCertificate; private static bool CheckCertificate( object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslpolicyerrors) { return // TODO: Is certificate chain valid? }
  11. 11. Demo
  12. 12. App Transport Security (ATS) <key>NSAppTransportSecurity</key> <dict> <key>NSExceptionDomains</key> <dict> <key>www.example.com</key> <dict> <key>NSExceptionMinimumTLSVersion</key> <string>TLSv1.0</string> <key>NSExceptionRequiresForwardSecrecy</key> <false/> <key>NSExceptionAllowsInsecureHTTPLoads</key> <true/> <key>NSIncludesSubdomains</key> <true/> </dict> </dict> </dict>
  13. 13. APIs
  14. 14. „Dafür können Sie unseren bestehenden Webservice benutzen.“
  15. 15. „Von welcher IP-Adresse aus werden Sie denn auf den Webservice zugreifen?“
  16. 16. „Um auf den Webservice zuzugreifen, sollten Sie diese Zugangsdaten verwenden.“
  17. 17. Zugangsdaten dürfen nicht Teil des App-Bundles sein.
  18. 18. Nicht die App soll authentifiziert werden, sondern der User.
  19. 19. Benutzerspezifische Tokens sollten im sicheren Speicher des Betriebssystems abgelegt werden.
  20. 20. Die Backend sollte die gleichen Sicherheitskonzepte verwenden, die auch von Webseiten verwendet werden.
  21. 21. Wenn eine API einen API-Key benötigt, sollte sie aus dem Backend aufgerufen werden.
  22. 22. Statische Codeanalyse
  23. 23. Zusammenfassung
  24. 24. Stellen Sie die Sicherheit Ihrer App und Ihres Backends in Frage.
  25. 25. Fragen?
  26. 26. Ist Ihre App sicher? Kerry W. Lothrop Zühlke @kwlothrop kerry.lothrop.de 21. Juni 2016

×