Должны ли APNS-токены быть зашифрованы?

Question

Должны ли APNS-токены быть зашифрованы?

Итак, мне было интересно, поскольку пользователи отправляют свои токены APNS поставщику APNS для получения push-уведомлений, должны ли токены быть зашифрованы? Нужен ли SSL?

Из того, что я считаю, в токене нет реальных конфиденциальных данных. Если кому-то действительно удастся прослушать токен от пользователя, ему все равно придется получить мой push-сертификат. И если ему удалось это сделать (он не будет;-)), все, что он мог сделать, - это отправить спам-уведомления этому конкретному пользователю. Это верно? Или я что-то пропустил?

Кроме того, я предполагаю, что невозможно определить устройство (или, что более важно, его пользователя) на основе токена APNS?

Итак, я хочу заверить, что, если кто-то прослушивает регистрацию push-уведомлений от одного из моих клиентов (регистрация содержит токен APNS и информацию, интересующую пользователя, а соединение не зашифровано, поэтому все читается в виде простого текста) ...

он все еще должен получить мой push-сертификат, чтобы иметь возможность беспокоить моего клиента любым способом
он знает, что кто-то заинтересован в этой информации, но не может определить, кто мой клиент

Могу ли я быть уверен? Заранее спасибо!

9

ios security apple-push-notifications

Источник

user886407 25 фев '12 в 23:10

1 ответ

Решение

Другие вопросы по тегам ios security apple-push-notifications

user355583 25 фев '12 в 23:43 2012-02-25 23:43 · Accepted Answer · 2012-02-25 23:43

SSL почти никогда не является ПЛОХОЙ идеей. Отсутствие SSL означает, что ваши пользователи будут подвержены всевозможным гадостям, таким как отравление DNS, человек посередине или фырканье.

Может быть, вас беспокоит стоимость сертификата SSL или накладные расходы на ваших серверах? Я не знаю - но я просто говорю - возможно, стоит подумать, платят ли вам за предоставление какой-либо услуги или вы собираете личную информацию.

В противном случае ваши очки в посте были в значительной степени отлично. Дело в том, что кому-то понадобится ваш push-сертификат для отправки этих сообщений этим пользователям.

Кроме того, я предполагаю, что невозможно определить устройство (или, что более важно, его пользователя) на основе токена APNS?

До iOS 5 этот идентификатор был одинаковым во всех приложениях - так что агрегированные статистические данные компании могли использовать идентификатор для некоторой идентификации конкретного пользователя... по крайней мере, чтобы знать, что "это один и тот же человек". Но это недавно изменилось, и теперь это случайный идентификатор для приложения.