我已阅读Apple提供的安全编码指南。我正在寻找开发财务应用程序。验证用户的最佳方法是什么? Apple提供的财务应用程序(与安全相关)是否有任何具体指导原则?
答案 0 :(得分:0)
只是一般智慧:
请勿以纯文本格式存储密码。虽然典型的用户无法访问iPhone内部的文件,但越狱的iPhone具有完全的root访问权限,并且能够在捆绑包内对等,并且可以轻松读取名为“userPass.txt”的纯文本文件。相反,使用iPhone的钥匙串存储登录名和密码。
正如刚刚发生的PayPal iOS安全错误所证明的那样,在向服务器进行身份验证时,请务必使用安全的HTTPS连接。在开放的WiFi网络上嗅探某人的数据包能够利用当前的iOS PayPal应用程序并从空中获取凭据。