對(duì)于移動(dòng)開(kāi)發(fā)人員來(lái)說(shuō)，什么才是最重要的應(yīng)用安全最佳實(shí)踐?安全專(zhuān)家Kevin Beaver給出了答案。

[[122893]]

回答關(guān)于移動(dòng)開(kāi)發(fā)最佳實(shí)踐是一項(xiàng)技巧，需要考慮多個(gè)變量。所有的應(yīng)用程序，包括傳統(tǒng)的客戶端/服務(wù)器端的和web應(yīng)用，開(kāi)發(fā)人員都要考慮如下的一些事情：

◆對(duì)于用戶來(lái)說(shuō)，什么樣的功能是必須有的?這通常定義了許多安全方面。

◆如何在最小的攻擊表面平衡豐富功能?

◆什么樣的信息需要輸入和處理?這也很大的安全隱患。

那么，當(dāng)然所有的安全“最佳實(shí)踐”文檔，如OWASP Top 10 Project和 SANS Top 25包含了輸入驗(yàn)證，會(huì)話管理之類(lèi)的。

在很多方面，移動(dòng)可以更簡(jiǎn)單，因?yàn)楣δ芡际鞘芟薜?。也就是說(shuō)，當(dāng)為移動(dòng)設(shè)備考慮額外的安全措施時(shí)，你需要考慮如下的一些事情 ：

信息是如何輸入到應(yīng)用中的?進(jìn)行模糊測(cè)試和為web應(yīng)用對(duì)移動(dòng)注入的工具并不多，但你仍然需要確保這類(lèi)信息已經(jīng)被驗(yàn)證。

怎樣從應(yīng)用程序中提取信息?這對(duì)于移動(dòng)應(yīng)用往往都是馬后炮。然而，當(dāng)使用如Elcomsoft iOS Forensic Toolkit的Oxygen Forensic Suite這樣的工具時(shí)，以設(shè)備的固件升級(jí)模式連接手機(jī)或平板時(shí)，一些鑒證工具是可用的，也是很開(kāi)眼界的。

信息是如何轉(zhuǎn)換的?對(duì)于傳統(tǒng)的應(yīng)用來(lái)說(shuō)，加密傳統(tǒng)要擺在一個(gè)很重要的位置上，但在移動(dòng)上往往會(huì)被忽視。我曾看到過(guò)大量的應(yīng)用程序以純文本的HTTP形式轉(zhuǎn)轉(zhuǎn)換所有東西。

信息最終將被轉(zhuǎn)換存儲(chǔ)到什么地方，而且如何保護(hù)它?這含有安全和法律的含義，尤其當(dāng)涉及到未受到保護(hù)的移動(dòng)設(shè)備和第三方云應(yīng)用時(shí)。

回到最初的問(wèn)題上，我已經(jīng)說(shuō)過(guò)對(duì)于移動(dòng)開(kāi)發(fā)人員來(lái)說(shuō)，最重要的應(yīng)用實(shí)踐是看到未來(lái)大的前景。退一步，看看一切將如何操作和交互，來(lái)確保你掌握了一切。否則，你將把一切置于危險(xiǎn)之中，這將不是所愿意看到的。