我们想在我们的应用程序中使用一个显然需要调用 URL 的网络服务。它不是 HTTPS,只是普通的旧 HTTP,使用 NSURLConnection。
问题是:这个网络服务非常昂贵,每千次调用都会花费我们真金白银。令人担心的是,有人可能会找出我们调用的 URL,然后滥用它,从而导致成本爆炸式增长。我们无法跟踪对该网络服务的调用是否合法。
我们计算的依据是我们销售的应用数量,乘以该应用的平均每位用户使用频率的假设。我们有一些很好的统计数据作为我们假设的基础。
是否有已知方法可以确定应用在 Internet 上调用哪个 URL 来检索信息?
【问题讨论】:
标签: iphone ios ipad security networking
您可以在手机连接 WiFi 时轻松使用网络嗅探器来找出这些信息。听起来,在 URL 中使用带有某种安全令牌的 SSL 非常重要。
如果这不是一个选项,也许您可以提供自己的使用 SSL 和安全令牌的代理服务?代理还授予限制请求和阻止已知恶意用户的能力。节流对每个用户在给定时间间隔内可能产生的费用设置了上限。代理的另一个好处是它允许收集统计数据并衡量不同用户产生的成本,从而促进恶意用户检测和业务规划。如果代理背后的服务是无状态的,代理还可以通过添加一个缓存来消除大量昂贵的调用,从而为您节省一些钱。
【讨论】:
如果 Web 服务未加密,则使用代理拦截手机发出的 Web 请求将很简单。如果昂贵的 Web 服务至少不提供某种形式的基本身份验证,我会认真考虑将其 URL 包含在公共应用程序中。
【讨论】:
使用纯 URL 是让脚本小子让您破产的可靠方法。如果您无法跟踪对昂贵 Web 服务的调用是否合法,请设置您自己的 Web 服务,该 Web 服务位于真正的 Web 服务前面,以确保您自己的 Web 服务可以在转发之前验证调用的合法性请求真正的网络服务。
【讨论】:
是的,有很多方法可以做到这一点。例如,将 iPhone 连接到 wifi 网络,其中路由器具有透明代理。检查代理的日志。您将看到所有 URL。取决于您的用户的决心,但这很容易。
【讨论】:
忽略越狱他们的设备的人可能会查看您的应用程序这一事实,我相信如果有人使用应用程序通过 WiFi 热点嗅探流量,则可以像任何其他设备(笔记本电脑、平板电脑等)一样检查流量如WireShark。但是,我怀疑在蜂窝 3G 网络上是否存在这种风险。
【讨论】:
好问题。
正如许多人所说,是的,很容易找出您的应用请求的网址。
关于 HTTPS 的注意事项: 但是由于您使用的是 HTTPS,所以没关系,因为通过 HTTPS,域将被 IP 地址所掩盖,并且人们看不到 URL 查询字符串参数。例如,如果你的 URL 是https://somewebsite.com?uid=mylogin&pass=mypass,他们肯定看不到“uid=mylogin&pass=mypass”,他们可能只能看到 IP 地址,看不到域名本身。 (见https://serverfault.com/questions/186445/can-an-attacker-sniff-data-in-a-url-over-https)
旁注: 可以安全地假设 Apple 在审核您的应用程序时执行某种 HTTP 请求诊断 - 这是有道理的,因为尝试从多个角度弄清楚您的应用程序的功能符合他们的最大利益。
【讨论】: