Security 移动应用中的安全问题

我有一个项目正在进行中，我目前正在评估该方法（使用PhoneGap的原生与混合）。关于这个评估过程（大部分是谷歌搜索），除了一点之外，我对大多数问题都很清楚。安全

我读到的很多文章都说混合应用程序比本地应用程序更不安全，但没有详细说明细节。我想知道，到底是什么让它不那么安全

只有一篇文章在这个话题上略为深入，说安全风险可能是：

• 应用程序源代码
• 静止数据
• 传输中的数据
• URL安全问题

我想更详细地理解这个话题。有谁能详细说明一下，或者给我指一些有用的资源吗

注：我知道这是一个没有重点/开放式的问题，但我真的被这个问题困住了，我已经在谷歌上搜索过很多次了。版主，请不要关闭此线程。

纯粹是猜测（从本机、iOS和Android上的混合应用的经验来看），但混合应用需要通过将数据绑定到API并使用通用数据格式存储，从而使数据更易于访问。这隐式地允许更多的攻击向量，因为您通过混合数据使数据本身更容易访问。作为本机应用程序，应用程序和相关数据必须以专有格式存储。这意味着必须专门构建攻击者或恶意软件来解决该格式的数据访问问题，而对于混合应用程序，恶意软件或攻击者可以通过公共API或公共数据存储格式访问数据

此外，当您与服务器“在线”交互时，本机应用程序使用低级通信，打开套接字连接，而对于混合应用程序，数据（通常）封装在HTTP之上。这意味着，如果攻击者所做的只是嗅探端口80上的流量（而不是像某些奇怪协议中的端口2030那样嗅探流量），那么他们要克服的障碍就更少了。使用“混合”通信（通常再次通过HTTP）与服务器交互的最常见方式之一是通过URL。这意味着用户名和密码等内容将包含在以明文形式发送的URL中（作为一个愚蠢的例子）：

http://www.example.com/control_me?username=foo&password=bar

---

至于应用程序源代码，这可以追溯到可访问性。根据定义，混合应用程序源代码需要是开放的。它需要在多个平台上运行，在AppLand中，当我们谈论混合应用程序源代码时，我们通常指的是HTML5。这意味着您可以下载整个方法并进行反向工程（或者只是打开并查看），因为您需要发送源代码才能在设备上运行。这与本机应用程序不同，本机应用程序基本上是编译的java或objective-c，很难或不可能“反编译”。

在源代码部分，当你说“需要发送源代码”时，你是指下载整个HTML、CSS和JS吗？我认为在混合应用程序的情况下，这个源程序与应用程序本身捆绑在一起。此外，如果我的原生应用程序使用SOAP、HTTP等标准协议，它是否与混合应用程序一样容易受到攻击？为了解决第一个问题，我的意思正是：它是“捆绑”的，以便运行，因此每个客户端在下载你的应用程序时都会下载你的源代码。其次，是的，这是完全正确的，这也是为什么“数据传输”点不是一个特别令人惊讶的发现的原因之一。如果它是敏感的，加密它通常是你的公民义务。