我必须从桌面应用程序启动Windows Store 8.1应用程序。我遇到了协议激活的概念,用户可以使用协议名称启动商店应用程序,并将参数从桌面应用程序传递到商店应用程序。以这种方式发射是否安全?如果我可以实现一些安全机制(安全令牌)来保护通信,我该怎么做呢?
答案 0 :(得分:2)
协议激活本身并不安全。 问题是调用应用程序永远无法确定哪个应用程序在系统上注册了某个协议。因此存在“邪恶的双胞胎”问题:应用程序可能假装是某个协议的预期应用程序,但事实上并非如此。例如。我可以写一个应用程序并注册为“spotify”或“facebook”或“bing”,并可能试图窃取传递的参数。
这取决于您试图避免的危险类型。最佳选择是不使用协议启动程序传递敏感数据。而只传递只有真正的目标应用程序可以“转换”为敏感数据的数据。 (例如加密的ID)
在目标应用程序方面,它是同一件事:被调用的应用程序无法确定谁是调用者。它无法验证或限制。
AppLaunchers for Windows 10的更改:您可以指定目标应用程序的软件包系列名称,并且可以使用Windows 10将调用应用程序列入白名单。