Jia*_*Yow 8 security apple-push-notifications ios
所以,我想知道,因为用户将APNS令牌发送给APNS提供商以接收推送通知,是否应加密令牌?SSL是否必要?
据我所知,令牌中没有真正的敏感数据.如果某人实际设法从用户嗅探令牌,他仍然必须获得我的推送证书.如果他设法这样做(他不会;-))他所能做的就是向这个特定用户发送垃圾邮件通知.那是对的吗?还是我错过了什么?
另外,我认为根据APNS令牌识别设备(或更重要的是,用户)是不可能的?
因此,我想确保,如果有人从我的一个客户端嗅探推送通知注册(注册包含APNS令牌和用户感兴趣的信息,并且连接未加密,因此所有内容都以纯文本形式可读). ..
我可以放心吗?提前致谢!
SSL几乎绝不是一个坏主意。缺乏SSL意味着您的用户将容易遭受各种DNS毒害,中间人或嗅探之类的麻烦。
也许您担心SSL证书的成本或服务器的开销?我不知道-但我只是在说-也许值得考虑一下,是让您获得报酬来提供某些服务还是正在收集个人身份信息。
否则,您在帖子中的观点是正确的。事实是有人需要您的推送证书才能将这些消息发送给这些用户。
另外,我假设无法基于APNS令牌识别设备(或更重要的是,其用户)?
在iOS 5之前,该ID在所有应用程序中都是一致的-因此汇总统计信息公司可以使用该ID某种程度上识别特定用户……至少知道“这是同一个人”。但这是最近发生的变化,现在是每个应用程序的随机ID。