こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

HTML5ハイブリッドアプリのセキュリティ

HTML5とJavascriptを使ったスマホのアプリで
バックエンドのサーバー接続に必要な
IDなどをJavascriptに書くと思いますが

セキュリティ的に大丈夫なのでしょうか?

投稿日時 - 2015-07-07 16:20:19

QNo.9007831

困ってます

質問者が選んだベストアンサー

>バックエンドとして、parse.comの利用を検討しています。

そのサービスは知らなかったので、ざっと見てみました。以下から配布されているスクリプトが見られます。

http://www.parsecdn.com/js/parse-1.4.2.js

やはり、XMLHttpRequestを使い、Ajaxでparase.comのサーバーにアクセスし、データを保存したり必要な情報を取得しているようですね。アクセスするサーバーはhttpsでセキュアなものを使っており、ログインに必要なアクセスはpost送信されています。またユーザを識別するセッションは毎回トークンを変更し、追跡不可にしています。一般的なセキュア対策はひと通りされており、心配することはないと思いました。

JavaScriptを使っているということで不安を感じるのかもしれませんが、GoogleやFacebookのログインフォームもAjaxも、きちんとセキュアな対策を取っていれば安全の上ではそれほど違いはないと思いますよ。

それより問題は、ユーザー情報などを自社でなく外部に委ねていいのか、そっちのほうじゃないでしょうか。ログイン処理などの不安より、サイトに外部から攻撃がされてユーザー情報が流出、なんてことのほうが今は不安だったりしますから。

GoogleやFacebookぐらいになればさまざまな攻撃に晒されてきたので大抵の対応はできますが、新興の小さな企業だとそうした経験が少なく、思いがけない弱点を露呈してしまうことがあります(parase.comがそうだということではありません、念のため)。そのへんをどこまで信頼するか、ですね。

投稿日時 - 2015-07-08 15:35:57

お礼

詳しく回答いただきありがとうございます。

いろいろと調べたところ、他の方も心配されている方がいらっしゃるようでした。

https://parse.com/questions/javascript-sdk-security

投稿日時 - 2015-07-09 11:52:12

ANo.2

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(2)

ANo.1

サーバー接続に必要なIDなどをJavaScriptに書くことはないと思いますが……。

例えばログインしてユーザー認証をするアプリなら、まずログインページに移動し、そこでフォームから送信をします。これはPOST送信となり、通常はセキュアな形でサーバに送信するはずです。

そしてサーバー側でログイン処理が行われたら、セッションを確立し、以後はサーバー接続時のそのセッションがログイン許可されたものかどうかを確認しながら処理を行います。このとき送られるのはセッションIDのみであり、これはダイナミックに割り振られます。IDなどの情報をJavaScriptなどに静的に記述する必要はまったくないので問題は起こらないでしょう。

投稿日時 - 2015-07-08 08:25:31

補足

バックエンドとして、parse.comの利用を検討しています。
そのparse.comへの接続方法としてJavascriptを利用するとソースコード上に接続情報を書くようなになっているようなのです。

素人考えで、第三者が利用することができるのでは無いかと思いまして。。。

投稿日時 - 2015-07-08 10:39:59

お礼

なんども回答いただきありがとうございました。

投稿日時 - 2015-07-09 11:52:36

-広告-
-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-