将敏感数据添加到 iOS 应用程序的最佳做法是什么?对于敏感数据,我的意思是与某些外部服务器通信的密钥或令牌。
我们可以在应用程序中编译证书,iOS 可以在安装时删除它吗?
我觉得我们不能真正 100% 保证它的安全性,但是我们可以添加的最佳实践层是什么。
问问题
101 次
1 回答
0
没有任何机制可以确保服务器只允许您的应用程序与其对话。因此,如果这是您的目标,那么它是无法解决的。这已经在 SO 上被谈死了。一些:
(以及这些帖子中的许多其他链接。)
在其他地方:
您无法验证设备或软件。您只能对用户进行身份验证。这意味着登录。如果没有部分存储在用户大脑中的登录信息(或至少存储在与他们的 iPhone 不同的东西中),这只是一种混淆。
现在,这并不意味着混淆是没有用的。它不是。您可以从简单的身份验证令牌(如客户端密钥)中获得一些好处,但不要指望它能够在攻击中幸存下来。这并不意味着你不应该这样做;这只是意味着您不应该在它上面花费大量时间/金钱,因为它会很快失败。
在任何情况下,您都不应该实施一些会吸引付费客户的东西。阅读上面链接的几个线程(以及从这些线程链接的几个线程)。如果在那之后,你仍然绝对需要一个解决方案,那么你需要雇人来跟踪裂缝并在每次出现新裂缝时修复它们。它永远不会停止。
于 2012-08-14T01:17:02.313 回答