Question

Estoy desarrollando una aplicación movil hibrida con un login, este envía el usuario y contraseña en un JSON a un servicio REST con una url "https://", cuando la contraseña es correcta la respuesta es una variable booleana y un token que tiene validez por un dia. No estoy seguro si deba encriptar la contraseña antes de enviarla al servicio o si basta con que se utilice el protocolo seguro https.

¿Que otras consideraciones consideraciones de seguridad dentro de la aplicación debería tomar?

Cabe señalar que el lado del servidor ya esta desarrollado, posee usuarios y contraseñas encriptadas almacenadas, esta parte no esta bajo mi responsabilidad por lo que seria difícil modificar los procesos allí existente en caso de ser necesario.

Answer 1

Hola @zgluis,

si el acceso es a un servidor HTTPS, entonces nadie podrá, en principio, ver la contraseña que tu app envía.

Si la contraseña es la de cada usuario, no habrá problema, porque en caso de que alguien pudiera acceder a la contraseña accedería solo a los datos de esa persona.

En cambio si la contraseña es única para toda la app (una contraseña de acceso a la API), será más importante cuidarla y que alguien con acceso a la app no pueda verla, al menos fácilmente. En este caso, podrías usar algún mecanismo de cifrado, aunque sea por substitución, para que la contraseña de la APP no se vea como texto al analizar el binario de la aplicación.

Un plus adicional para ambos casos es rehusar el envío de información si no es a HTTPS o mejor todavía, a un URL específico.

Saludos cordiales!