Я должен запустить приложение Магазина Windows 8.1 из настольного приложения. Я столкнулся с концепцией активации протокола, когда пользователь может запустить приложение магазина, используя имя протокола, и передать параметры в приложение магазина из настольного приложения. Безопасно ли запускать таким образом? если я могу реализовать некоторый механизм безопасности (токен безопасности) для защиты связи, как мне это сделать?
Насколько безопасна активация протокола? Как обеспечить безопасность при запуске приложения Магазина Windows 8.1 из настольного приложения с использованием активации протокола?
Ответы (1)
Активация протокола небезопасна сама по себе. Дело в том, что вызывающее приложение никогда не может быть уверено, какое приложение зарегистрировано для определенного протокола в системе. Следовательно, существует проблема «злого близнеца»: приложение может притворяться ожидаемым приложением для определенного протокола, но на самом деле им не является. Например. Я мог бы написать приложение и зарегистрироваться как «spotify», «facebook» или «bing» и попытаться украсть переданные параметры.
Это зависит от того, какой опасности вы пытаетесь избежать. Лучший вариант — не передавать конфиденциальные данные с помощью средства запуска протокола. Вместо этого передавайте только те данные, которые только истинное целевое приложение может «преобразовать» в конфиденциальные данные. (например, зашифрованный идентификатор)
На стороне целевого приложения то же самое: вызываемое приложение не может быть уверено, кто звонит. Это не может быть подтверждено или ограничено.
Оба изменения в AppLaunchers для Windows 10: вы можете указать имя семейства пакетов целевого приложения и внести вызывающее приложение в белый список в Windows 10.
person
Daniel Meixner
schedule
16.02.2016
