Насколько безопасна активация протокола? Как я могу обеспечить безопасность при запуске приложения Windows Store 8.1 из настольного приложения с использованием активации протокола?

Question

Я должен запустить приложение Windows Store 8.1 из настольного приложения. Я столкнулся с концепцией активации протокола, когда пользователь может запустить приложение store с использованием имени протокола и передать параметры в приложение store из настольного приложения. Безопасно ли запускать этот путь? если я могу реализовать некоторый механизм безопасности (токен безопасности) для обеспечения связи, как мне это сделать?

Answer 1

Активация протокола сама по себе не является безопасной. Дело в том, что вызывающее приложение никогда не может быть уверенным, какое приложение зарегистрировано для определенного протокола в системе. Поэтому существует проблема «злого двойника»: приложение может притворяться ожидаемым приложением для определенного протокола, но на самом деле это не так. Например. Я мог бы написать приложение и зарегистрироваться как «spotify» или «facebook» или «bing» и попытаться украсть прошедшие параметры.

Это зависит от того, какую опасность вы пытаетесь избежать. Лучший вариант - не передавать конфиденциальные данные с помощью пусковой установки протокола. Вместо этого передайте только данные, которые только истинное целевое приложение может «перевести» на конфиденциальные данные. (например, зашифрованный идентификатор)

На стороне целевого приложения это одно и то же: вызываемое приложение не может быть уверенным, кто является вызывающим. Он не может быть проверен или ограничен.

Оба изменения с помощью AppLaunchers для Windows 10: вы можете указать имя семейства пакетов целевого приложения, и вы можете включить белый список вызывающего приложения в Windows 10.