Capacitor のセキュリティ・ベスト・プラクティス
Capacitor の開発者は、アプリがセキュリティのベストプラクティスに従っていることを確認する責任があります。適切なケアを行わないと、重大なセキュリティ問題が発生し、非常に大きな損害と費用が発生する可能性があります。
セキュリティのテーマは多岐にわたりますが、Capacitor の開発者がセキュリティ遵守のために監査すべき領域は、データ、認証/ディープリンク、ネットワーク、Web View のセキュリティなど、いくつかあります。
Ionic は、認証、生体認証、および暗号化を含む、Capacitor アプリ用のすぐに使えるセキュリティ スイートを提供します。 詳細 はこちらをご覧ください。
データ・セキュリティ
データセキュリティは、ローカルに保存されているデータやアプリのコード内に保存されているデータの セキュリティを扱います。
コードに秘密を埋め込まない
Capacitor のアプリをはじめとするフロントエンドアプリのセキュリティ対策で最も重要なことは、アプリのコードに秘密を埋め込まないことです。つまり、コードに秘密の API キーや暗号化キーなど、アプリの基本的な解析技術を使って簡単に盗むことができるような機密データが含まれていないことを確認する必要があります。ビルド時にアプリのコードに機密値を注入する環境変数プラグインに注意してください。
代わりに、秘密鍵やトークンを必要とするほとんどの操作をサーバーサイドに移し、そこで秘密鍵やトークンを保護し、すべてのリクエストをサーバーから転送できるようにします。これは、サーバーレス関数や従来のサーバーサイドアプリのプロセスであるかもしれません。
認証トークンや暗号化キーなど、クライアント側で永続化された機密キーやトークンを扱う必要があるアプリでは、メモリ上の値のみを扱う(ディスクに永続化しない)か、以下のようなセキュアなキーチェーン/キーストア技術を使用することが推奨されます。