2
如果我有一个用于远程SSL认证的密码变量,那么存储在源代码中是否安全?保护Objective C源代码中的敏感信息
例如
NSString * password = @"password";
有没有更好的办法?
更新:对不起,我的困惑,我不存储用户密码,而不是,我存储用来调用我们自己的后台密码,所有的应用程序将使用相同的密码。
A
回答
2
我的新的答案:
尽量不要使用静态密码来访问后端,期。如果某人不想确定密码是什么,会发生什么情况。为什么不使用用户名&密码?
您还可以考虑使用公钥或嵌入式证书,以便只允许您的应用访问后端服务器。
我原来的答复:
听起来像是你想结识的钥匙扣。
下面是谈论它的教程:
http://maniacdev.com/2011/07/tutorial-how-to-use-the-ios-keychain-to-store-names-and-passwords/
而且here is a related question that talks about the security of Keychain under iOS。
你不应该有计划为所有用户储存静态密码,而是让每个用户设定他/她的账户&密码进行验证,然后储存是东西在钥匙串。
0
不!
建立你的应用程序。转至终端输入strings,然后你的可执行文件拖动到终端,然后按返回......你会以纯文本格式见你秘密密码:)
你应该保存它的哈希值。
+0
我已经将可执行文件拖放到了'strings'终端,但它一直在加载,没有任何东西可以被看到。 – Howard 2012-03-09 09:50:46
1
应用程序中包含的任何文本都很容易提取。有没有真正的解决方法 - 使用strings工具,任何人都可以看到静态嵌入到您的应用程序中的任何和所有文本内容。但是,有一些解决方法 - 特别是,如果将字符串拆分为多个静态字符串并按正确的顺序进行连接,则对应用程序中包含的密码进行反向工程将会困难得多。
我建议你看看类似的问题(How Safe is Information Contained within iPhone App Compiled Code),特别是我对这个问题的回答,以便更深入地解释我的意思。 (尼姆罗德对这个问题的评论也很有意思。)
相关问题
- 1. 保护PhoneGap中的敏感信息?
- 2. 在onsenUI/Angular中保护敏感信息
- 3. 保护C#源代码中的敏感数据?
- 4. Laravel:配置以保护敏感信息
- 5. 在源代码中存储敏感信息的最佳实践
- 6. 如何保护跨站点访问的敏感信息?
- 7. 保护来自网站集管理员的敏感信息
- 8. JSON-P与敏感信息的使用
- 9. 流星:process.env.MAIL_URL敏感信息
- 10. 在web.config中保存敏感信息(用户名和密码)?
- 11. ASP.net敏感信息存储
- 12. GIT/Heroku敏感信息
- 13. $ _SERVER信息是否敏感?
- 14. 存储敏感信息
- 15. 将敏感信息存储在被认为安全的类保护变量中?
- 16. 源代码保护
- 17. 屏蔽节点中的敏感信息
- 18. 如何检查项目到源代码管理但省略敏感信息
- 19. Objective-C源代码
- 20. 保护DLL的源代码
- 21. 的Maven pom.xml的敏感信息和VCS
- 22. 使用declarative_authorization保护敏感属性
- 23. php:保护敏感页面功能
- 24. 保护敏感实体数据
- 25. 在RoR上保护敏感数据(信用卡)
- 26. 发送针对AD的敏感信息
- 27. 如何存储这些敏感信息?
- 28. NSClassFromString大小写不敏感Objective-C
- 29. 针对非敏感链接的简单密码保护
- 30. 保护android源代码
我已经更新了我的问题,我没有存储用户密码,而是我正在存储密码来调用我们的后端,用户不知道它。 – Howard 2012-03-09 09:27:54
如果你原来的问题比较清楚,那本来很好。我已经修改了我的答案。 – 2012-03-09 09:39:13
谢谢!但即使使用公钥,用户也很容易检测到,我只是想,如果有更好的方法将其隐藏在代码中的某处。我不需要有一个完美的方式来做到这一点,只是比存储一个字符串更好。 – Howard 2012-03-09 09:52:22