所谓TP被篡改这一情况,简单来讲,就是存在某些人,他们企图朝着你耳朵里面塞入某些东西,进而使得你去听从他们所说的话语。
我这暴脾气,一想起这事儿就上火。
你辛辛苦苦建立的信任,人家一个中间人攻击,全给你毁了。
怎么防?
别整那些虚头巴脑的理论,咱们就来点实在的。
为啥你的TP老是被改
很多人想不明白,觉得自己用的网络挺安全啊。
屁嘞!
你所连接的那个公共无线网络,说不定就是一个“蜜罐”,是专门准备好等待像你这样单纯易受骗的人往里面跳的。
TP被篡改最常见的地方,就是这些不安全的网络环境。
数据包于传输之际,恰似明信片在邮寄之中,任何人皆可匆匆一瞥,那些手欠之人甚至还会擅自改动其中几个字。
你觉得你所登录的是银行,然而实际上那是骗子搭建的假站点,外观长得完全一样,可无论你输入什么内容,它都会记录下来。
这事儿,我见得太多了。
签名和证书是不是摆设
别跟我说你搞了签名和证书就万事大吉了。
那玩意儿就像你家的门锁,防君子不防小人。
证书倘若没能妥善管理,私钥就被泄露出去了,别人拿着属于你的“身份证”去做坏事,你连哭都找不到合适的调子。
并且,好多人装了证书之后就不再理会,即便过期了也不去更换,又或者是使用那些不靠谱的免费证书,安全性如何呢?
呵,约等于零。
你需要使用那些由大厂、被广泛认可的CA签发的证书,而且要密切留意它的有效期,不能让它处于无保护的状态。
代码里得留个心眼儿
写代码的时候,脑袋就得想着有人要搞你。
接口返回的数据,能信吗?
不能!
尤其是那些自客户端传递上来的参数,诸如价格、积分、用户ID,你务必得于后端规规矩矩地再度校验一回。
客户端传来个“1块钱”,你就真收1块钱?
傻了吧,人家把请求包里的1改成0.01,你怎么办?
因此,至关重要的参数务必进行加密签名,当后端获取到请求时,首要步骤便是验签,要是签名有误,那就直接丢弃,并且还得报警,此人必定是在试探你。
存储和传输不能分家
数据在传输过程中要加密,这还用我说?
HTTPS是一定要采用的,并且其使用的版本是要处在TLS1.2之上的,那些陈旧过时的协议要早日禁止掉。
但光管传输不够,数据存到你服务器上也得加密。
倘若有一天,数据库遭遇他人拖库的情况,其中包含的密码,以及身份证号呈现为明文状态,那你就等着被人狠狠骂娘吧。
得进行哈希加盐操作,采用那种速度慢的哈希算法,使得破解所需成本高到让他们萌生放弃的念头。
讲到这里的时候,我向当前处于在座位置的各位进行询问,你们之中有没有遇到那样一种情况,就是APP一旦实施更新举措后,其具备的功能相应地增添了几个,又或者其界面在悄然之间发生了改变的情形呢?
你们认为,这件事是开发者没跟你讲,还是存在其他人对动了你的手机手脚呢。是吗。
在评论区里聊一聊,倘若觉得有作用那就进行点赞以及分享,从而让更多的人能够看到,可别使得这帮家伙太过肆意妄为。
转载请注明出处:TP钱包官方网站,如有疑问,请联系()。
本文地址:https://www.chinaibfc.com/tpgfxz/964.html