B3密钥管理密钥分类：按时长：shortterm：短期密钥，用于一次加密。longterm：长期密钥，用于加密或者授权。按服务类型：Authenticationkeys：公钥长期，私钥短期。Confidentialitykeys：短期。confidentiality确保的是第三方不能读取到信息。公钥分发我们已经知道对称密钥使用公钥加密分发。公钥怎么分发？publicannouncement：直接广播，“这是我的公钥”！缺点在于容易被别人伪造forgery。PubliclyAvailableDirectory：向公共机构注册保管，定期更改；也有访问公共机构查密钥的方法；但是也不安全。Public

看到知识星球有小伙伴要华为HCIP安全的题库：昨天我的程序爬到后，我立马在星球更新了：这里我打个个人的小广告，如果你也想加入我的知识星球，可以在公众号与我联系。目前已经汇集了773位小伙伴，其中资料的更新情况截图如下：发了主题数：2220个，分享的文件数：852个，图片数：1475张。星球分享的资料拒绝低质，基本上都是按需更新，目前来看几乎覆盖了IT全领域的资料，尤其在网络这块更新的最多，由于知识星球不支持标签统计和关键词统计，我有空写个程序去统计一下有哪些分类。如果你通过微信端咨询我加入星球，可以给您优惠20元，只需79元加入。还是回到咱们今天的主题。一、华为HCIP安全介绍以下内容来源于“

我看过一些来自WWDC的关于iOS5数据保护的文档和视频，它看起来非常好，因为它可以加密你所有的应用程序数据，并在你的设备被锁定时保护它。但是，我发现该系统范围的数据保护机制存在两个主要问题:1-如果有人设法在我的iPhone未锁定时偷走它(这通常发生在“窃取后运行”的情况下)，它可能会将我的iPhone插入笔记本电脑并访问我的未加密数据2-它迫使我定义一个系统范围的密码，这对一些用户来说似乎很自然，但对很多用户来说仍然很麻烦。即使我的应用程序是唯一真正需要加密的应用程序，我还是强制我的用户定义系统级密码，这似乎是一种滥用。而且它甚至更加滥用，因为四位密码并不是抵御暴力攻击的好方法。所

我目前有一个iOS应用程序，允许人们向我们的服务器提交内容(类似Twitter)。我们没有登录系统，而是依靠设备的UDID来唯一标识用户(是的，意识到这并不完美，但对于不必创建帐户的用户来说值得权衡)。来自iOS应用程序的请求作为POST请求发送到我们的服务器，并且不以任何方式进行身份验证。我们目前遇到了很多垃圾邮件(很明显)，并且正在寻找一种简单的方法来验证任何到达我们服务器的请求实际上来self们的应用程序-而不是垃圾邮件发送者编写的一些脚本。我们尝试使用包含应用名称的用户代理字符串，但很容易被欺骗。有什么方法可以验证到达我们服务器的请求是否来self们的应用程序？一个想法可能是包

我正在制作一个文件浏览器(适用于UIWebView可打开的任何文件类型——图像、电影、音频、文本、word...)，它处理加密文件问题是，我现在的目标是解密我想查看的文件并将其加载到webview请求中NSURLRequest*request=[NSURLRequestrequestWithURL:fileURL];[self.webViewloadRequest:request];但是问题是文件被提取到磁盘，要读取......问题是，有人可以恢复已删除的文件所以我试着用[webViewloadData:documentDataMIMEType:mimeTypetextEncoding

有没有人调查过AppleAppStore分发私钥/证书是否可以存储在智能卡上？我在一家即将发布多个iOS应用程序的大公司工作，我们关心保护生产分发key和证书的最佳方法。是否可以生成这些key/证书并将其存储在智能卡上，然后在签署应用程序进行分发时使用该智能卡？他们特定的智能卡供应商是否在OSX上运行良好？ 最佳答案 如果您的证书及其匹配key在您的钥匙串(keychain)中可用，您应该能够对任何应用进行代码签名。SmartCardServices如果这些Assets(证书+key)存储在智能卡上，这看起来像是您需要的工具。

我正在为iOS开发HTTPSClient。我的应用程序中有DER格式的CA证书，以便执行信任和评估。不幸的是，我无法使用SecCertificateCreateWithData加载证书。我的caRef保持为零，我没有收到错误消息。(我从Windows服务器导出我的CA证书)certDataRef总是有一些字节。我也偶然发现CreatedacertificateusingSecCertificateCreateWithDataoniOS和iPhoneSimulatorcustomCAcertificate.iOS是否真的需要一些证书属性/扩展？还是我只需要在设备而不是模拟器上运行它？NS

我正在努力思考如何实现iOS/Android指纹来验证用户身份。据我了解，触发指纹对话框只是一种额外的安全措施？所以一个典型的入职流程是这样的:用户下载该应用。用户注册/登录，并从服务器取回token。对于我们需要额外安全性的某些操作，触发指纹对话框。如果指纹没问题-使用第2步中的token进行实际的REST调用。我错过了什么吗？ 最佳答案 请阅读以下博客之一(还有许多其他博客):http://www.techotopia.com/index.php/An_Android_Fingerprint_Authentication_Tut

Apple的SecureCodingGuide文档提供了以下方面的指导:格式化字符串攻击缓冲区溢出(无论如何对我来说)不清楚的是如何在使用NSString时防止格式字符串攻击和缓冲区溢出。我该如何防御此类攻击？我可以申请任何类别来防止这种情况发生吗？是否有我可以使用的“安全”NSString等效项？ 最佳答案 当您将数据放入NSString(或NSMutableString)时，缓冲区溢出通常不是问题，因为当您创建NSString，你必须告诉它你给它多少数据，它会自动分配足够的私有(private)存储空间来保存你给它的数据。坚持使

我正在使用相同的Xcode项目在IOS和OSX上构建相同的应用程序。我是新的OSX开发者。对于此应用程序，我将共享代码以使用NSURLConnection将HTTPS请求发送到服务器。它在IOS上运行得非常好，但在OSX上我遇到了一些麻烦。在OSX中，当发送请求时，我在NSURLConnectionLoader中有一个异常(见屏幕截图)，这在IOS中从未发生过。在Xcode中，如果我在调试器上多次单击“继续”，则会发送请求并且我会正确接收来自服务器的响应。发送第一个请求后，将无误地发送以下请求!我不知道如何在这个问题上取得进展。欢迎任何想法!我想知道这是否可能是由于权利问题和/或与IO