Criptare dati da salvare in un DB

[Madsex]

Ciao a tutti,
mi trovo ad affrontare una situazione a me sconosciuta.

St� sviluppando un app per smartphone che permette agli utenti di salvare alcune info nel DB interno del cellulare. Ovviamente far� salvare anche username e password. a tal proposito mi ponevo il dubbio su come criptare e salvare i dati.Ad esempio la password.

Francamente in js non ho mai fatto nulla del genere e soprattutto mi st� ponendo mille quesiti di sicurezza dovuti ad un'eventuale apertura dell'app (intesa come apertura dei file contenuti nell'app).

Avreste qualche consiglio da darmi in merito o una via da seguire?

Grazie in anticipo

[ciro78]

Ciao a tutti,
mi trovo ad affrontare una situazione a me sconosciuta.

St� sviluppando un app per smartphone che permette agli utenti di salvare alcune info nel DB interno del cellulare. Ovviamente far� salvare anche username e password. a tal proposito mi ponevo il dubbio su come criptare e salvare i dati.Ad esempio la password.

Francamente in js non ho mai fatto nulla del genere e soprattutto mi st� ponendo mille quesiti di sicurezza dovuti ad un'eventuale apertura dell'app (intesa come apertura dei file contenuti nell'app).

Avreste qualche consiglio da darmi in merito o una via da seguire?

Grazie in anticipo

Ci sono svariate librerie che fanno quello che chiedi. L'hash della password. Il problema è che non ha senso memorizzare username e password nel db dell'applicazione. Se l'app è usufruibile solo a utenti registrati sta roba deve stare sul server.

[Madsex]

In realtà vorrei che i dati salvati, oltre a user e pass, vengano resi fruibili anche offline.
Da qui l'esigenza di creare un DB interno al device. Ciò che mi preoccupa di queste librerie però ( a proposito puoi consigliarmene qualcuna ? ) è che se si riesce ad aprire l'app si potrebbe ricavare la libreria usata ed eventualmente tirare fuori i dati e decriptarli.
Mi sbaglio? mi stò facendo una pippa inutile perchè tanto è sempre così qualunque soluzione adotti ?

Ripeto è una situazione nuova.

Grazie

[ciro78]

In realtà vorrei che i dati salvati, oltre a user e pass, vengano resi fruibili anche offline.
Da qui l'esigenza di creare un DB interno al device. Ciò che mi preoccupa di queste librerie però ( a proposito puoi consigliarmene qualcuna ? ) è che se si riesce ad aprire l'app si potrebbe ricavare la libreria usata ed eventualmente tirare fuori i dati e decriptarli.
Mi sbaglio? mi stò facendo una pippa inutile perchè tanto è sempre così qualunque soluzione adotti ?

Ripeto è una situazione nuova.

Grazie

Presumo tu stia utilizzando cose come ionics o cordova....ma a prescindere non ha senso cryptare le informazioni del db che sono visibili nell'app....se stanno li è per farle vedere all'utente.

[Madsex]

Scusa ma non riesco a capire questo pumto di vista.

Io ho un'app nel cell dentro la quale salvo per dire il pin del bancomat. per accedere all'app normalmente userei il dito (scansione impronta) o uno user e una password se il dito non è il mio. Ora il pin del bancomat sarà salvato nel DB, da quello che capisco per te dovrebbe essere salvato in chiaro. ora mi domando, se lo salvo in chiaro e mi fregano il cell, pur non avendo user e pass (ne il mio dito, si spera) possono collegare il cell a un iexplorer qualunque (nel caso iphone) navigare le cartelle del cell e andarsi a prendere l'sql del DB, aprirlo e vedere il pin del bancomat. Non mi sembra molto sicuro.

Ecco, vorrei ovviare a questo criptando il "PIN" con un sistema che comunque non permetta al ladro, sempre navigando i file, di capire come decodificare il pin salvato nel DB.

Come la vedi?

Grazie.

PS: si uso cordova,per curiosità, cosa ne pensi?

[ciro78]

Scusa ma non riesco a capire questo pumto di vista.

Io ho un'app nel cell dentro la quale salvo per dire il pin del bancomat. per accedere all'app normalmente userei il dito (scansione impronta) o uno user e una password se il dito non � il mio. Ora il pin del bancomat sar� salvato nel DB, da quello che capisco per te dovrebbe essere salvato in chiaro. ora mi domando, se lo salvo in chiaro e mi fregano il cell, pur non avendo user e pass (ne il mio dito, si spera) possono collegare il cell a un iexplorer qualunque (nel caso iphone) navigare le cartelle del cell e andarsi a prendere l'sql del DB, aprirlo e vedere il pin del bancomat. Non mi sembra molto sicuro.

Ecco, vorrei ovviare a questo criptando il "PIN" con un sistema che comunque non permetta al ladro, sempre navigando i file, di capire come decodificare il pin salvato nel DB.

Come la vedi?

Grazie.

PS: si uso cordova,per curiosit�, cosa ne pensi?

che se ti rubano il cellulare per prendersi i dati e riescono ad accedere al file system al punto in cui � presente il db...possono decompilare l'app e decompilare i dati che sono nel db.

cordova � il male. andrebbeero abolite la app non fatte con gli strumenti nativi