HKCert
保安指南

流動應用程式 (SSL實施) 最佳行事指引

發布日期: 14 / 09 / 2015
最後更新: 05 / 10 / 2015

流動平台將日漸成為提供服務的選擇。隨著越來越多的敏感數據和交易數據在流動通訊渠道傳輸,保安風險將聯繫著不信任的通訊,好像公共 Wi-Fi,也需要被注視。例如,欺詐者可以建立一個假的 Wi-Fi 接入點和使用偽造的安全通訊協定(SSL)證書,進行中間人(MITM)攻擊,以獲取敏感數據。

 

安全通訊協定 / 傳輸層安全協議(SSL/TLS)已被廣泛用於認證和加密。可是,如果經由流動應用程式實施通訊加密,用戶便不能得到跟瀏覽器相同的SSL視覺警告(顯示在網址列上的顏色鎖頭圖示)。因此,在流動應用程式上 SSL/TLS 實施的質素,對偵測和阻止 MITM 攻擊變得非常重要。

 

根據個人資料(私隱)條例中資料保護原則第四點 - 保安措施,若數據涉及個人資料(私隱),流動應用程式的擁有人及公司有需要採取一切合理可行的步驟,以落實保安措施,其水平應要對應可能導致數據洩露之嚴重性的潛在危機。流動應用程式開發人員也有責任保護傳輸數據,並提供流動用戶一個安全的環境以防範中間人攻擊。

 

為提升香港流動應用程式的交易安全,香港電腦保安事故協調中心(HKCERT)及專業資訊保安協會(PISA)已編製《流動應用程式 (SSL實施) 最佳行事指引》。這份文件講述一些常見處理方法,為流動應用程式開發人員提供合適的方向,以處理流動應用程式和服務器之間的SSL安全連接及防止MITM的攻擊。

 

 

[下載] (只供英文版)