2
如果我有一個用於遠程SSL認證的密碼變量,那麼存儲在源代碼中是否安全?保護Objective C源代碼中的敏感信息
例如
NSString * password = @"password";
有沒有更好的辦法?
更新:對不起,我的困惑,我不存儲用戶密碼,而不是,我存儲用來調用我們自己的後臺密碼,所有的應用程序將使用相同的密碼。
A
回答
2
我的新的答案:
儘量不要使用靜態密碼來訪問後端,期。如果某人不想確定密碼是什麼,會發生什麼情況。爲什麼不使用用戶名&密碼?
您還可以考慮使用公鑰或嵌入式證書,以便只允許您的應用訪問後端服務器。
我原來的答覆:
聽起來像是你想結識的鑰匙扣。
下面是談論它的教程:
http://maniacdev.com/2011/07/tutorial-how-to-use-the-ios-keychain-to-store-names-and-passwords/
而且here is a related question that talks about the security of Keychain under iOS。
你不應該有計劃爲所有用戶儲存靜態密碼,而是讓每個用戶設定他/她的賬戶&密碼進行驗證,然後儲存是東西在鑰匙串。
0
不!
建立你的應用程序。轉至終端輸入strings,然後你的可執行文件拖動到終端,然後按返回......你會以純文本格式見你祕密密碼:)
你應該保存它的哈希值。
+0
我已經將可執行文件拖放到了'strings'終端,但它一直在加載,沒有任何東西可以被看到。 – Howard 2012-03-09 09:50:46
1
應用程序中包含的任何文本都很容易提取。有沒有真正的解決方法 - 使用strings工具,任何人都可以看到靜態嵌入到您的應用程序中的任何和所有文本內容。但是,有一些解決方法 - 特別是,如果將字符串拆分爲多個靜態字符串並按正確的順序進行連接,則對應用程序中包含的密碼進行反向工程將會困難得多。
我建議你看看類似的問題(How Safe is Information Contained within iPhone App Compiled Code),特別是我對這個問題的回答,以便更深入地解釋我的意思。 (尼姆羅德對這個問題的評論也很有意思。)
相關問題
- 1. 保護PhoneGap中的敏感信息?
- 2. 在onsenUI/Angular中保護敏感信息
- 3. 保護C#源代碼中的敏感數據?
- 4. 在源代碼中存儲敏感信息的最佳實踐
- 5. 保護來自網站集管理員的敏感信息
- 6. 流星:process.env.MAIL_URL敏感信息
- 7. 存儲敏感信息
- 8. $ _SERVER信息是否敏感?
- 9. 將敏感信息存儲在被認爲安全的類保護變量中?
- 10. 源代碼保護
- 11. 屏蔽節點中的敏感信息
- 12. 如何檢查項目到源代碼管理但省略敏感信息
- 13. Objective-C源代碼
- 14. 保護DLL的源代碼
- 15. 的Maven pom.xml的敏感信息和VCS
- 16. 保護敏感實體數據
- 17. 使用declarative_authorization保護敏感屬性
- 18. php:保護敏感頁面功能
- 19. MVC3 - 把敏感信息的ViewBag
- 20. 發送針對AD的敏感信息
- 21. 針對非敏感鏈接的簡單密碼保護
- 22. NSClassFromString大小寫不敏感Objective-C
- 23. 如何保護源代碼?
- 24. 保護android源代碼
- 25. 保護源代碼段
- 26. 保護AngularJS源代碼
- 27. 指定摩卡測試敏感信息
- 28. 在keepass數據庫中存儲敏感信息c#
- 29. 從github隱藏我的敏感信息(例如密碼)
- 30. 努力使一些Objective-C代碼感
我已經更新了我的問題,我沒有存儲用戶密碼,而是我正在存儲密碼來調用我們的後端,用戶不知道它。 – Howard 2012-03-09 09:27:54
如果你原來的問題比較清楚,那本來很好。我已經修改了我的答案。 – 2012-03-09 09:39:13
謝謝!但即使使用公鑰,用戶也很容易檢測到,我只是想,如果有更好的方法將其隱藏在代碼中的某處。我不需要有一個完美的方式來做到這一點,只是比存儲一個字符串更好。 – Howard 2012-03-09 09:52:22