流動應用程式 (SSL實施) 最佳行事指引

流動平台將日漸成為提供服務的選擇。隨著越來越多的敏感數據和交易數據在流動通訊渠道傳輸，保安風險將聯繫著不信任的通訊，好像公共 Wi-Fi，也需要被注視。例如，欺詐者可以建立一個假的 Wi-Fi 接入點和使用偽造的安全通訊協定（SSL）證書，進行中間人（MITM）攻擊，以獲取敏感數據。

安全通訊協定 / 傳輸層安全協議（SSL/TLS）已被廣泛用於認證和加密。可是，如果經由流動應用程式實施通訊加密，用戶便不能得到跟瀏覽器相同的SSL視覺警告（顯示在網址列上的顏色鎖頭圖示）。因此，在流動應用程式上 SSL/TLS 實施的質素，對偵測和阻止 MITM 攻擊變得非常重要。

根據個人資料(私隱)條例中資料保護原則第四點 - 保安措施，若數據涉及個人資料(私隱)，流動應用程式的擁有人及公司有需要採取一切合理可行的步驟，以落實保安措施，其水平應要對應可能導致數據洩露之嚴重性的潛在危機。流動應用程式開發人員也有責任保護傳輸數據，並提供流動用戶一個安全的環境以防範中間人攻擊。

為提升香港流動應用程式的交易安全，香港電腦保安事故協調中心（HKCERT）及專業資訊保安協會（PISA）已編製《流動應用程式 (SSL實施) 最佳行事指引》。這份文件講述一些常見處理方法，為流動應用程式開發人員提供合適的方向，以處理流動應用程式和服務器之間的SSL安全連接及防止MITM的攻擊。

[下載] (只供英文版)