移动Web应用程序安全体系结构队列？

Question

亲爱的保安小姐(我不是)，

欢迎您对移动web应用程序的应用程序体系结构(例如，带有Sencha的HTML5 )的想法和建议。

队列的使用(例如，Amazon‘SQS)会在多大程度上增加/减少/对移动web应用程序的安全性没有影响？

你觉得这种方法怎么样？

1. 用户(比如在iPhone或Droid上)使用他们的智能手机浏览器(例如，iPhone上的Mobile )通过SSL访问移动web应用程序。
2. URL服务器端的应用程序实际上不接受来自MWA (Mobile )...INSERT的JSON消息，这些消息被放入一个队列(AWS )...monitor，第二个AWS队列用于生成message...which，服务器端应用程序基本上只返回到MWA。
3. 该应用程序的“真正”工作是done...on --另一个服务器正在接收来自第一个queue...doing的消息-- all processing...formatting，response...and，将响应( JSON对象)推送到第二个队列。

这里的思想过程是:坏人无法访问服务器上运行的进程，执行“真正的”work...which也是保存应用程序数据库的地方。

因为我还没有发现在任何线程中都讨论过这种应用程序体系结构方法(至少，不是以我认识该体系结构的形式)，所以我想知道是否有一些众所周知的问题(至少，以安全专家而闻名的问题，比如你们自己)，使得这种方法没有吸引力？

你认为如何？这种方法会阻碍坏人吗？天真地落入一个众所周知的坏蛋的剥削中？Or...what？

非常，非常感谢您的意见和建议！

Answer 1

这个基本概念对于web应用程序来说是相当标准的，DMZ中的表示服务器与网络中的应用程序服务器交谈，然后从数据库服务器请求数据。

或者有时只有两个层，但它们被防火墙或带有访问控制列表的路由器隔离。

通信可以通过消息传递、队列或直接连接进行。

Answer 2

这种方法绝对不是没有吸引力的。有多少著名的网络或移动应用程序在使用它们的东西(这并不是信中的意思，而是一般情况下)。将用户交互的接口和系统与进行处理和数据操作的系统隔离总是一种很好的做法。

另一个方面是确保正确处理恶意数据或请求，即使请求到达应用程序或数据库服务器。只要您遵循足够好的客户端安全实践(防止XSS和CSRF，验证任何会话数据服务器端使窃取cookie变得困难)，剩下的唯一部分就是用户如何处理他们的数据，而且您只能做这么多事情。