【发布时间】:2017-02-04 15:44:42
【问题描述】:
我有一个包含登录身份验证的安卓应用程序,我没有将加密的用户名和密码发送到后端进行身份验证。
当我在“云上的应用程序安全”中扫描此应用程序时,它没有显示任何错误或任何安全问题。我预计会出现安全问题,因为密码和用户名未加密。为什么我没有收到任何错误?
【问题讨论】:
标签: android ibm-cloud bluemix-app-scan
【发布时间】:2017-02-04 15:44:42
【问题描述】:
如果连接是 HTTPS(应该是),则数据在传输过程中被加密。
用户名和密码不应被应用加密,密码将被安全地散列并保存在云服务中。
【讨论】:
-
我用过HTTP,现在用GET方式调用api。
-
现在这是一个糟糕的选择,考虑升级到 HTTPS,这是正确且安全的解决方案。请记住,您对用户的安全负责。
-
实际上,我们正在尝试查看 Application Security on Cloud 服务是否能够将其检测为问题,但事实并非如此。