最近我asked关于在Android中的xml字符串资源中存储敏感信息的安全隐患:答案?严重的安全隐患,使用简单的命令行工具很容易获得每个xml文件的内容,因此几乎必须加密重要信息。
现在,iOS中的情况如何? plist或.strings可本地化文件中的某些数据是纯文本的,非加密的,这是多么安全?
答案 0 :(得分:2)
仍然不太安全。
没有什么可以阻止用户解压缩存储在iTunes中的计算机上的应用程序并查看内容。它很容易做到,即使没有监狱破坏的手机。任何字符串资源,plist文件等都可以立即访问。
当使用strings实用程序查看时,编译后的二进制文件中甚至可以看到硬编码字符串文字。进一步使用nm实用程序可以看到所有应用程序符号,例如方法名称,常量等。
我建议不要在纯文本中存储任何可能被视为敏感的内容。
答案 1 :(得分:0)
您可以访问已越狱的iPhone上的任何文件,因此您需要加密敏感数据。
答案 2 :(得分:0)
完全相同的问题,plist是Mac OSX和iOS的一个非常常见的文件,它只是一个XML文件。在所有平台上保护您的敏感数据!
我想补充一点,苹果确实提供了一种在Keychain中安全存储敏感信息的方法。
答案 3 :(得分:0)
如果您的应用程序附带.plist文件,那么最终用户可以解压缩.ipa应用程序文件并查看.plist文件并随意执行任何操作。