web-dev-qa-db-ja.com

HSTS for Android apps?

ブラウザでアクセスしたFacebookなどのWebサイトには、HSTS機能があります。これは、一部の攻撃からのTLSのセキュリティのもう1つのレイヤーです。

特にFacebook Androidアプリはどうですか? HSTSはありますか? すでに説明したように このアプリとその他のアプリには少なくともTLSが含まれています。

別のスレッドで、アプリのHSTSは重要ではないことを読みました。

2
Mark88

FacebookアプリはAndroid/iOS用のHSTSを使用していますか?いいえ、必要はありません。 HSTSは、Chrome、FirefoxなどのWebブラウザーに、HTTPS経由でのみWebサービスと対話するように指示するために固有です。

モバイルアプリでは、アプリ自体にHTTPSがハードコードされ、それが唯一のオプションになります。 Appleはすべてのアプリでこれを必要とし、AndroidはアプリでもHTTPSに移行しているようです。 Android HTTPS =。

アプリケーションを自分で開発していて、ユーザーにHTTPSのみを使用させたい場合は、HTTPSのみを使用してバックエンドサービスを呼び出し、AndroidまたはiOSであるかどうかにかかわらず、アプリケーションにコード化するだけです。例:- https://api.example.com/data

モバイルアプリ環境でHSTSが不要な理由は、ユーザーがWebブラウザーでHTTP経由でexample.comなどのベースURLにアクセスできるためです。ユーザーは、Webブラウザー環境で、Webサイトに移動する方法をより詳細に制御できます。また、Webサイトにインデックスを付けてバックリンクすることで、WebサイトにリンクするときにHTTPまたはHTTPSのどちらのプロトコルを指定するかを指定できます。そのため、Webブラウザー環境でHSTSを使用して、「誰かがHTTPを求めていると言っても、HTTPSでのみ私に話しかける」ように指示する必要がありますが、モバイル環境では、開発者としてHTTPSを指定できます。バックエンドサービスとやり取りするためのアプリのコード。ユーザーが手動でURLに移動する必要はありません。URLはすべてFacebookアプリまたはユーザーが作成したアプリでコーディングされているためです。ユーザーはアプリを開くだけです。したがって、開発者は、アプリがWebサービスとどのように相互作用するかについてより多くの発言権を得ることができます。それはあなたのアプリであり、クライアントであり、あなたはそれに何をすべきかを伝えますが、あなたはビルドしませんでしたChromeまたはFirefox、それは他の誰かのクライアントです。ウェブサービス。

3
nd510