Làm cách nào để gọi URL "bí mật" trong ứng dụng iOS?

Question

Chúng tôi muốn sử dụng một dịch vụ web trong ứng dụng của chúng tôi mà rõ ràng đòi hỏi phải gọi một URL. Nó không phải HTTPS, chỉ là HTTP cũ, sử dụng NSURLConnection.

Vấn đề là: Dịch vụ web này rất tốn kém và mỗi nghìn cuộc gọi đều tốn tiền thật của chúng tôi. Nỗi sợ hãi là ai đó có thể tìm ra URL nào chúng tôi gọi và sau đó sử dụng sai mục đích đó, để cho chi phí phát nổ. Không có cách nào để chúng tôi theo dõi nếu một cuộc gọi đến dịch vụ web đó là hợp pháp.

Chúng tôi đang tính toán dựa trên số lượng ứng dụng mà chúng tôi bán, nhân với giả định tần suất sử dụng ứng dụng trung bình cho mỗi người dùng. Chúng tôi có một số thống kê tốt mà chúng tôi dựa trên các giả định của mình.

Có cách nào để biết URL nào ứng dụng đang gọi trên Internet để truy xuất thông tin không?

Answer 1

Có, có rất nhiều cách để thực hiện việc này. Ví dụ, kết nối iPhone với mạng wifi, trong đó router có proxy trong suốt. Kiểm tra nhật ký của proxy. Bạn sẽ thấy tất cả các URL. Phụ thuộc vào cách xác định người dùng của bạn, nhưng điều này khá dễ dàng.

Answer 2

Nếu dịch vụ Web không được mã hóa, sẽ là tầm thường khi sử dụng proxy để chặn các yêu cầu web do điện thoại thực hiện. Nếu dịch vụ Web đắt tiền không cung cấp ít nhất một số hình thức xác thực cơ bản, tôi sẽ xem xét nghiêm túc bao gồm cả URL của nó trong một ứng dụng công cộng.

Answer 3

Bạn có thể dễ dàng sử dụng trình thám thính mạng trong khi điện thoại đang ở trên WiFi để tìm ra thông tin này. Có vẻ như điều thực sự quan trọng là bạn sử dụng SSL với một số loại mã thông báo an toàn trong URL.

Nếu đây không phải là tùy chọn, có lẽ bạn có thể cung cấp dịch vụ proxy của riêng bạn sẽ sử dụng mã thông báo bảo mật và SSL? Proxy cũng cấp khả năng điều tiết các yêu cầu và chặn người dùng được biết là độc hại. Throttling đặt một ràng buộc trên chi phí mỗi người dùng có thể phải chịu trong một khoảng thời gian nhất định. Một lợi ích khác của proxy là nó cho phép người dùng thu thập số liệu thống kê và đo lường chi phí phát sinh bởi những người dùng khác nhau tạo thuận lợi cho phát hiện người dùng độc hại và lập kế hoạch kinh doanh. Proxy cũng có thể giúp bạn tiết kiệm một số tiền nếu dịch vụ đằng sau nó là không trạng thái bằng cách thêm bộ nhớ cache có thể xóa nhiều cuộc gọi tốn kém.

Answer 4

Bỏ qua thực tế rằng những người đã bẻ khóa thiết bị của họ có thể xem ứng dụng của bạn, tôi tin rằng có thể kiểm tra lưu lượng truy cập giống như bất kỳ thiết bị nào khác (máy tính xách tay, máy tính bảng, v.v.) các ứng dụng như WireShark. Tuy nhiên, tôi nghi ngờ sẽ có nhiều rủi ro về điều này qua mạng 3G di động.

Answer 5

Câu hỏi hay.

Như nhiều người đã nói, có, thật dễ dàng để tìm ra các url yêu cầu ứng dụng của bạn.

Lưu ý về HTTPS: Nhưng kể từ khi bạn đang sử dụng HTTPS bạn là chấp nhận vì qua HTTPS tên miền sẽ bị che khuất đến địa chỉ IP, và người không thể nhìn thấy các thông số chuỗi truy vấn URL. Ví dụ: nếu URL của bạn là https://somewebsite.com?uid=mylogin&pass=mypass, chúng chắc chắn sẽ không thể nhìn thấy "uid = mylogin & pass = mypass" và chúng có thể chỉ nhìn thấy địa chỉ IP chứ không chỉ tên miền.(Xem https://serverfault.com/questions/186445/can-an-attacker-sniff-data-in-a-url-over-https)

Sidenote: Có thể là an toàn để giả định rằng Apple thực hiện một số loại chẩn đoán yêu cầu HTTP khi họ đánh giá ứng dụng của bạn - đó sẽ có ý nghĩa vì nó là lợi ích tốt nhất của họ để thử và tìm ra những gì ứng dụng của bạn hoạt động ở nhiều góc độ.

Answer 6

Sử dụng URL đơn giản là cách chắc chắn để cho phép các kịch bản lệnh chạy bạn không hoạt động. Nếu không có cách nào để bạn theo dõi xem cuộc gọi đến dịch vụ web đắt tiền có hợp pháp hay không, hãy thiết lập dịch vụ web của riêng bạn trước dịch vụ web thực để đảm bảo rằng dịch vụ web của riêng bạn có thể xác minh tính hợp pháp của cuộc gọi trước khi chuyển tiếp yêu cầu dịch vụ web thực.