围绕iOS的安全性共享NSHTTPCookieStorage

时间:2015-04-23 08:28:34

标签: ios security cookies nshttpcookiestorage

我很难找到关于此的确切细节,所以我希望在这里得到一些帮助。我正在寻找有关iOS共享NSHTTPCookieStorage底层存储机制的一些信息:

  • 使用共享NSHTTPCookieStorage存储cookie时,默认情况下是否提供任何加密,例如使用钥匙串服务?或者使用NSUserDefaults将cookie简单地存储在纯文本中?
  • 我知道Cookie存储在应用程序的沙箱中,因此其他应用程序无法访问,但我的理解是正确的,有物理访问设备的人可以轻松访问应用程序的cookie及其值(特别是如果他们未加密存储?)

如果必须处理cookie中的某些敏感数据,但想要利用NSURLSession API的默认cookie处理/存储(共享NSHTTPCookieStorage),那么什么才是最佳选择?

抱歉,我知道我已经提出了3个单独的问题,但是对此有任何帮助将不胜感激。

感谢。

1 个答案:

答案 0 :(得分:1)

我不知道如何专门存储Cookie,但所有应用程序文件都是在iOS上加密的,并且具有特定于应用的AES256密钥。这些密钥来自其他密钥,这些密钥最终来自CPU芯片内的“安全区域”,只有在用户解锁设备时才会释放密钥。 (Apple有一个非常全面的iOS安全白皮书,详细描述了这一点。)

因此,即使使用物理访问,在iOS上访问文件也非常困难,除非您可以获取设备的密码并将其解锁。常规cookie存储可能足以满足您的需要。