在考虑iPhone / iPad应用程序安全性时,我注意到:
==>数据盗窃威胁
还有:
==>收入损失威胁
所以我想知道#1 在iOS应用程序中获得更好安全性的最佳做法是什么? 此外,#2 减少收入损失和减少黑客攻击的最佳方法是什么??
#p>#1 我见过一些关于安全性的WWDC幻灯片 1 2 3 4 + apple docs我可以说,在这些最佳实践之间有:
表示#2 我认为使用基于免费应用程序的商业模式,然后使用商店收据进行应用购买验证可以成为收入损失最小的模型。
您的安全最佳做法是什么,以及最大限度地减少应用黑客机会的最佳方式?
答案 0 :(得分:67)
#1在iOS应用程序中获得更好安全性的最佳做法是什么?
适当的数据安全性在很大程度上取决于信息的性质。它是长寿还是短命?它是一种可用于打开其他内容或单个数据的通用凭据吗?潜在的损失是隐私,财务还是安全?确定适当的保护措施需要特定的案例,并且没有一般性的答案。但是你要求最好的做法,有几个。它们都不是完美的或牢不可破的。但它们是最佳实践。以下是一些:
NSFileProtectionComplete
。这只是一些方法,但它们设定了基调:
#2减少收入损失和减少黑客攻击的最佳方法是什么?
这已在SO上多次讨论过。这个答案包括几个其他讨论的链接:
Secure https encryption for iPhone app to webpage
简短的回答是:担心您的客户,而不是您的非客户。许多海盗永远不会付钱给你,所以你的时间和金钱最好花在帮助你的实际客户想要付钱给你,并让他们更容易这样做。专注于赚更多的钱,而不是保护自己免受你永远不会拥有的钱。从来没有,在惩罚非付费客户的努力中,勾结付费客户。复仇是一个傻逼的游戏,浪费资源。
避免盗版有两种很好的方法:
你可以做一些基本的事情,正如他们所说,让诚实的人诚实(有些在各种相关的讨论中讨论过)。但是,不要在清醒的夜晚担心如何挫败海盗。躺着醒来担心如何让客户惊讶。
永远记住:苹果花费的钱比我们大多数人在生活中看到的更多钱,试图保护iPhone。它还是越狱了。想想你的预算将会达到什么目标。
答案 1 :(得分:7)
当攻击者获得对设备的物理访问权限(例如盗窃)时,他几乎可以做任何事情。 请注意,应用程序文件非常容易阅读。 被盗设备可以轻松越狱,攻击者甚至可以访问受保护的文件。
我建议将敏感数据存储到设备:
答案 2 :(得分:5)
可能无法阻止盗版,但我们可以使其变得艰难。
答案 3 :(得分:2)
这取决于你做了什么。至于访问API,您真正需要做的就是哈希和/或盐用户信息,然后将信息(如果需要)保存在钥匙串中(您可以通过在将密码推入钥匙串之前加密密码来增加额外的安全性。最好不要使用NSUserDefaults,因为输入的数据存储在iPhone文件系统的.txt文件中,如你所说,黑客可以访问它。
答案 4 :(得分:0)
添加更多内容以提高应用程序的安全性