草庐IT

iphone - iOS 应用程序安全的最佳实践

coder 2023-07-24 原文

在考虑 iPhone/iPad 应用程序安全性时,我注意到有:

  • 广泛可用的黑客工具允许访问文件系统
  • 网络拦截,中间人攻击

==> 数据窃取威胁

还有:

  • 黑客工具的可用性,允许与 friend /社区免费共享付费应用(在 Cydia 中看到)
  • 黑客工具的可用性,允许在不付费的情况下购买应用程序(在 Cydia 中看到,听说它不适用于任何应用程序)

==> 收入损失威胁

所以我想知道 #1 在 iOS 应用程序中获得更好安全性的最佳实践是什么? 此外,#2减少收入损失和最大限度减少黑客入侵风险的最佳方法是什么

#1 我看过一些关于安全的 WWDC 幻灯片 1 2 3 4 + apple docs

我可以说,在这些最佳实践之间有:

  • 使用提供数据保护的 API(例如具有 NSFileProtectionKey 属性的 NSFileManager)
  • 使用钥匙串(keychain)
  • 使用 SSL 和证书保护敏感数据

#2 我认为使用基于免费应用程序的商业模式,然后应用商店收据验证的应用程序购买可以是收入损失最小的模式。

您的最佳安全做法是什么,以及将应用被黑客入侵的可能性降到最低的最佳方法是什么?

最佳答案

#1 what are best practices to get a better security in iOS application?

适当的数据安全性在很大程度上取决于信息的性质。它是长寿的还是短命的?是可以用来打开其他东西的通用凭证,还是单条数据?潜在的损失是隐私、财务还是安全?确定适当的保护措施需要具体案例,没有普遍的答案。但是您要求最佳实践,并且有几个。它们都不是完美的或牢不可破的。但它们是最佳实践。这里有一些:

  • 在钥匙串(keychain)中存储敏感信息
  • 尽可能将数据保护设置为 NSFileProtectionComplete
  • 不要存储您实际上不需要的敏感数据,也不要存储超过您需要的时间。
  • 存储特定于应用程序的身份验证 token 而不是密码。
  • 使用 HTTPS 验证您联系的服务器。切勿接受无效或不受信任的证书。
  • 连接到您自己的服务器时,验证该服务提供的证书是签署的,而不仅仅是“受信任的证书”。

这只是一些方法,但它们定下了基调:

  • 使用内置 API 存储内容。随着 Apple 提高安全性,您可以免费获益。
  • 完全避免存储敏感信息,并尽量降低所存储内容的敏感性。
  • 验证您与之通信的服务。

#2 what are best ways to reduce revenue loss and minimise hacking exposure?

这个在SO上已经讨论过很多次了。此答案包含指向其他几个讨论的链接:

Secure https encryption for iPhone app to webpage

简短的回答是:担心您的客户,而不是您的非客户。许多盗版者永远不会付钱给你,所以你的时间和金钱最好花在帮助你的实际客户想要付钱给你,并让他们更容易这样做。专注于赚更多的钱,而不是保护自己免受永远无法拥有的金钱的侵害。永远,永远,在努力惩罚非付费客户时勾选付费客户。复仇是傻瓜的游戏,也是对资源的浪费。

有两种避免盗版的好方法:

  • 不要发布。
  • 发布没人想要的垃圾。

正如他们所说,您可以做一些值得做的基本事情,让诚实的人保持诚实(在各种相关讨论中讨论了一些事情)。但不要彻夜难眠,担心如何阻止海盗。睡不着觉,担心如何让您的客户惊叹不已。

请永远记住:Apple 花费的钱比我们大多数人在生活中花费的钱都多,以确保 iPhone 的安全。还是越狱了。想想您的预算将达到什么目的。

关于iphone - iOS 应用程序安全的最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9448632/

有关iphone - iOS 应用程序安全的最佳实践的更多相关文章

  1. ruby-on-rails - 使用 Ruby on Rails 进行自动化测试 - 最佳实践 - 2

    很好奇,就使用ruby​​onrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提

  2. ruby - 在 Ruby 程序执行时阻止 Windows 7 PC 进入休眠状态 - 2

    我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0

  3. ruby - 将差异补丁应用于字符串/文件 - 2

    对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl

  4. ruby - 解析 RDFa、微数据等的最佳方式是什么,使用统一的模式/词汇(例如 schema.org)存储和显示信息 - 2

    我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i

  5. ruby - 如何指定 Rack 处理程序 - 2

    Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack

  6. ruby - 在 Ruby 中编写命令行实用程序 - 2

    我想用ruby​​编写一个小的命令行实用程序并将其作为gem分发。我知道安装后,Guard、Sass和Thor等某些gem可以从命令行自行运行。为了让gem像二进制文件一样可用,我需要在我的gemspec中指定什么。 最佳答案 Gem::Specification.newdo|s|...s.executable='name_of_executable'...endhttp://docs.rubygems.org/read/chapter/20 关于ruby-在Ruby中编写命令行实用程序

  7. ruby-on-rails - Rails 应用程序之间的通信 - 2

    我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此

  8. ruby - 无法运行 Rails 2.x 应用程序 - 2

    我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby​​:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r

  9. ruby-on-rails - Rails 应用程序中的 Rails : How are you using application_controller. rb 是新手吗? - 2

    刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr

  10. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

    我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

随机推荐