使用基于 3G 移动设备 UDID 的允许列表保护服务器

使用基于 3G 移动设备 UDID 的允许列表保护服务器

如何创建服务器白名单,以根据 UDID 区分移动设备。

答案1

这取决于您在该服务器上拥有什么服务以及您用来访问这些服务的协议。

假设您谈论的是 Web 服务器,那么您不太可能对移动设备做太多事情,尽管以这种方式泄露的数据量对于某些设备\提供商组合而言相当可怕。通常,相关标识符实际上不是由客户端浏览器提供的,而是由蜂窝提供商的内部代理\网关基础设施提供的,这些基础设施通常对 http 流量等采取相当侵入性的方法。专注于移动技术的安全研究员 Colin Mulliner 今年早些时候在 CanSecWest 上就此问题发表了精彩演讲,您可以从中下载他的网站

一些其他针对移动平台的服务(Exchange Push mail 就是一个例子)提供了基于硬件设备 ID 的白名单,但这并不常见。在大多数情况下,它只是众多安全机制之一,仅依靠此标识符是不可取的。

如果您正在构建自己的服务并且能够为服务器和客户端系统编写功能,那么利用设备 ID 作为整体解决方案的一部分并不是那么困难,但如果您想支持多个客户端平台,您将需要进行大量开发工作。

相关内容