我创建了一个基于Phonegap / Cordova的Android应用程序,该应用程序使用cookie,例如用于会话认证/自动登录。在安全审查期间,人们担心如果攻击者可以拿到电话,他可以读出cookie并劫持用户的会话。
有没有办法以编程方式加密设备的存储空间或阻止使用Android OS 4.0及更高版本访问Cookie?我更愿意(但不是坚持)一个易于与Phonegap / Cordova集成的解决方案。
答案 0 :(得分:1)
从安全角度而言,这绝对不是问题,因为攻击者需要获取未锁定的设备才能劫持正在进行的会话。因此,加密会话cookie的想法非常荒谬-除了cookie会自动设置外,几乎不可能挂接到那里。
即使可以对它们进行加密,但当获得具有正在进行的会话的未锁定设备时,这也完全不能阻止任何事情。这个概念是有缺陷的,没有被深思熟虑。
该问题的最简单解决方案:如果不想让WebView将会话cookie保存到内部存储中,只需不要使用WebView来获取它们-那么显然不会保存它们。
首先,我想看看概念证明可以在锁定的设备上绕过encryption。当拥有启用调试桥和禁用屏幕锁定的有根设备(这会提供攻击媒介)时,安全问题将是除WebView默认cookie存储工具之外的全部问题。