草庐IT

SECURITY

全部标签

security - iOS/Security.Framework 的 CRL 和 OCSP 行为?

我试图弄清楚iOS在使用Security.Framework验证证书时关于证书吊销的政策是什么。我无法在iOS文档中找到有关此的信息。在我目前正在处理的iPad项目的上下文中,有理由要求检查某些证书的撤销状态。关于如何在使用Security.Framework进行证书验证期间强制进行CRL/OCSP检查的任何想法?还是我需要“回退”到OpenSSL才能完成此操作?似乎在MacOSX10.6上CRL/OCSP检查也是可选的,必须通过钥匙串(keychain)访问手动打开。马丁 最佳答案 我有苹果人对这个问题的回答,我在这里发布了完整的

security - iOS/Security.Framework 的 CRL 和 OCSP 行为?

我试图弄清楚iOS在使用Security.Framework验证证书时关于证书吊销的政策是什么。我无法在iOS文档中找到有关此的信息。在我目前正在处理的iPad项目的上下文中,有理由要求检查某些证书的撤销状态。关于如何在使用Security.Framework进行证书验证期间强制进行CRL/OCSP检查的任何想法?还是我需要“回退”到OpenSSL才能完成此操作?似乎在MacOSX10.6上CRL/OCSP检查也是可选的,必须通过钥匙串(keychain)访问手动打开。马丁 最佳答案 我有苹果人对这个问题的回答,我在这里发布了完整的

解决javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException

问题现象:JavaSpring应用发送数据报如下问题。javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException:PKIXpathbuildingfailed:sun.security.provider.certpath.SunCertPathBuilderException:unabletofindvalidcertificationpathtorequestedtarget原因分析:用httpclient访问https资源时,会出现异常,与环境也有关系,有些机器请求正常。解决方案:1.复制附录代

ios - 在 native 应用程序和网站之间共享凭据

我正在开发的一个应用程序允许用户登录到支持OAuth的后端。因此,应用程序只知道身份验证token和用户元数据,而不知道用户的凭据。在应用程序中,用户可以点击在浏览器中打开链接的链接。这些资源也受到OAuth的保护,登录nativeapp时获取的token也与web相关。我希望用户的凭据以标准的OAuth方式(通过将其作为Authorizationheader包含在内)从native应用程序流向Web浏览器。Android似乎通过其sharedcredentials促进了这一点功能,但我找不到iOS的等效项。我确实找到了sharedwebcredentials功能,但这似乎需要了解用户

ios - 在 native 应用程序和网站之间共享凭据

我正在开发的一个应用程序允许用户登录到支持OAuth的后端。因此,应用程序只知道身份验证token和用户元数据,而不知道用户的凭据。在应用程序中,用户可以点击在浏览器中打开链接的链接。这些资源也受到OAuth的保护,登录nativeapp时获取的token也与web相关。我希望用户的凭据以标准的OAuth方式(通过将其作为Authorizationheader包含在内)从native应用程序流向Web浏览器。Android似乎通过其sharedcredentials促进了这一点功能,但我找不到iOS的等效项。我确实找到了sharedwebcredentials功能,但这似乎需要了解用户

objective-c - 存储应用内购买的正确和安全的方式

在设备上存储应用内购买的最佳方式是什么,这样购买也可以离线访问,但购买的安全性没有受到损害? 最佳答案 不要在设备上存储任何有值(value)的东西,因为它不可信,而且很容易被有动机的人破坏。现在,所有这些都取决于所购买商品的类型和值(value),以及如果商品遭到破坏会发生什么情况。如果它真的有值(value),那么使用远程安全服务器来管理安全项目。应用程序内购买包括一张收据,您的远程安全服务器可以通过安全连接直接与苹果的服务器对话来验证该收据。请参阅此链接到verifyingstorereceipts.

objective-c - 存储应用内购买的正确和安全的方式

在设备上存储应用内购买的最佳方式是什么,这样购买也可以离线访问,但购买的安全性没有受到损害? 最佳答案 不要在设备上存储任何有值(value)的东西,因为它不可信,而且很容易被有动机的人破坏。现在,所有这些都取决于所购买商品的类型和值(value),以及如果商品遭到破坏会发生什么情况。如果它真的有值(value),那么使用远程安全服务器来管理安全项目。应用程序内购买包括一张收据,您的远程安全服务器可以通过安全连接直接与苹果的服务器对话来验证该收据。请参阅此链接到verifyingstorereceipts.

ios - 在 MacOS X 和 iOS 中 ASLR 到底随机化了什么

有没有人有指向最新MacOS(10.7)和iOS(6.0)的文档的链接?我是说。我想看一个列表(类似的东西)代码段(A、B、C情况下)堆栈(始终)堆数据段(从不)最好是每个事物有多少位随机化。我能找到的是:“MacOSLion实现了完整的ASLR”,而在其他地方“完整的ASLR是针对不同的操作系统以不同的方式实现的”,这显然不是很有用。 最佳答案 您要查找的列表可以很容易地由您生成,如下所示:intglobal_j=0;voidmain(){char*h=malloc(10);intj=0;printf("Globalsare:%p

ios - 在 MacOS X 和 iOS 中 ASLR 到底随机化了什么

有没有人有指向最新MacOS(10.7)和iOS(6.0)的文档的链接?我是说。我想看一个列表(类似的东西)代码段(A、B、C情况下)堆栈(始终)堆数据段(从不)最好是每个事物有多少位随机化。我能找到的是:“MacOSLion实现了完整的ASLR”,而在其他地方“完整的ASLR是针对不同的操作系统以不同的方式实现的”,这显然不是很有用。 最佳答案 您要查找的列表可以很容易地由您生成,如下所示:intglobal_j=0;voidmain(){char*h=malloc(10);intj=0;printf("Globalsare:%p

ios - iOS 钥匙串(keychain)使用什么加密算法来保护数据?

经过广泛的谷歌搜索后,我还没有设法找到这个问题的答案1,这令人惊讶,因为“通过模糊实现安全”根本不是真正的安全...这个问题是否有可靠的答案来源(例如iOS的认证申请、源代码或类似信息)?1我能找到的唯一提及是它可能使用3DES。 最佳答案 根据thisofficialApplewebpage:KeychainitemsareencryptedusingtwodifferentAES-256-GCMkeys:atablekey(metadata),andaper-rowkey(secret-key).更新:自2019年5月更新。加密