Как безопасно включить учетные данные сервера в приложение для iOS

Question

У меня есть приложение для iOS, которое периодически подключается к серверу в поисках обновлений данных.Соединение использует SSL и HTTPBasicAuthentication.

Как лучше всего включить учетные данные для входа на мои серверы в приложение?Насколько я понимаю, взломанный iPhone мог читать мои файлы сборки и легко видеть имя пользователя и пароль для входа на мой сервер.

Спасибо,

Майк

Answer 1

Нет способа обеспечить это полностью. Лучшее, что вы можете сделать, это несколько скрыть его (возможно, зашифрованный файл, который вы расшифровываете в приложении), а затем отслеживать сервер на предмет того, что выглядит как трафик не из приложения.

Если вы хотите скрытно зашифровать данные аутентификации, а затем использовать какую-то стенографию - вставьте учетные данные в изображение или даже в виде необработанных данных в файл, похожий на что-то другое (например, ключ SSH).

Но взломанный разработчик всегда сможет подключиться к вашему приложению, чтобы увидеть результаты его анализа, или, возможно, запустить SSH-прокси, чтобы просто отслеживать все, что вы отправляете.

Answer 2

Вам не нужно делать джейлбрейк вашего приложения, чтобы прочитать URL-адреса.Простое программное обеспечение для анализа пакетов на вашем Mac сделает это.Направляйте весь трафик iPhone через Wi-Fi Mac и прослушивайте его.Но главный вопрос здесь, почему?

Если вы защищаете данные, вы должны делать это безопасно.Если вы жестко запрограммировали имя пользователя / пароль в своем приложении в каком-то списке, где-то что-то не так.

Проверка обновлений не должна быть безопасной, поскольку реальный доступ к данным должен быть безопасным.Если вы загружаете данные для покупки в приложении, сравните их с квитанцией IAP.Если вы загружаете данные для пользователя, который имеет учетную запись в вашей службе, он, очевидно, вводит пароль, который не может быть "прослушан" анализаторами пакетов, если вы используете надлежащие криптографические методы.