Armazenando chaves secretas na fonte do iPhone e nos recursos do projeto
-
24-09-2019 - |
Pergunta
O armazenamento de teclas secretas (senhas de uso interno e tal) é o código -fonte do iPhone e os recursos do projeto (como arquivos Plist) seguros?
Obviamente, nada é 100% seguro, mas essas informações podem ser extraídas facilmente de um aplicativo instalado?
Como você recomenda armazenar essas teclas para usá -las no código -fonte?
Apenas por caso, essa pergunta não se trata de armazenar senhas de usuário.
Solução
. Eu estou querendo saber se seria seguro o suficiente para enviar o formulário usando o AJAX e, em seguida, validando no lado do servidor, em vez de enviar o formulário usando um botão de tipo 'enviar' e um atributo 'ação'.Sim. Entrada de fora do sistema é entrada de fora do sistema.
.Basicamente, é seguro tornar a validação lateral do servidor dependente do JS enviando-o?
O seu javascript deve ser e implementar aprimoramento progressivo .
A entrada para o script deve ser a mesma, não importa se veio de uma submissão de formulário regular com o Ajax (que é trivialmente fácil se você usar algo como JQuery's Serialize ), então você não deve precisar fazer o servidor depender do JS para a resposta.
A única diferença em como uma submissão de formulário e uma solicitação AJAX é tratada deve ser a formatação da resposta.
De qualquer forma, os dados que entram no sistema estão em última análise sob o controle do remetente para que você precise realizar a verificação de sanidade adequada e escapando de qualquer maneira.
Outras dicas
Depende muito do que você quer dizer com seguro. Para o uso normal do dispositivo, ele pode ser considerado seguro, pois não há como um usuário acessá -lo. No entanto, todas as apostas estão desligadas para um dispositivo quebrado com a prisão que tem acesso completo ao sistema de arquivos. Portanto, a visualização de um arquivo plist no seu pacote de aplicativos é trivial em um telefone quebrado.
Você pode considerar o uso do chaveiro que, em teoria, seria mais seguro e também tem a vantagem de que os dados sobreviverão a uma reinstalação do seu aplicativo. Como antes, em um dispositivo quebrado da prisão, nada pode ser considerado 100% seguro, mas depende de quanto problemas você deseja.