我有一个 iOS 应用程序,它定期连接到服务器以查找数据更新。该连接使用 SSL 和 HTTPBasicAuthentication。
将我的服务器登录凭据包含在应用程序中的最佳方式是什么?据我了解,越狱的 iPhone 可以读取我的构建文件并轻松查看用户名和密码以登录我的服务器。
谢谢,
麦克风
问问题
571 次
2 回答
3
没有办法完全确保这一点。您能做的最好的事情就是稍微掩盖它(可能是您在应用程序中解密的加密文件),然后监视服务器是否有看起来不是来自应用程序的流量。
如果您想偷偷地加密身份验证数据,然后使用某种速记 - 将凭据嵌入到图像中,或者甚至将原始数据作为看起来像其他东西的文件(如 SSH 密钥)中的原始数据。
但是越狱的开发人员总是能够连接到您的应用程序以查看解析结果,或者可能运行 SSH 代理来简单地监视您发送的所有内容。
于 2011-07-30T23:35:38.447 回答
0
您不必“越狱”您的应用程序即可读取 URL。Mac 上的一个简单的数据包嗅探器软件就可以做到。通过 Mac 的 Wifi 路由所有 iPhone 流量并嗅探它。但是,这里的主要问题是,为什么?
如果您要保护数据,则应该安全地进行。如果您在某个 plist 中的应用程序中硬编码用户名/密码,则某处有问题。
检查更新不一定是安全的,因为真正的数据访问应该是安全的。如果您正在为应用内购买下载数据,请根据 IAP 收据对其进行验证。如果您正在为拥有您服务帐户的用户下载数据,那么密码显然是由他输入的,如果您使用适当的加密方法,数据包嗅探器将无法“嗅探”该密码。
于 2011-07-31T07:04:10.643 回答