Безопасно ли для данных, сериализованных в приложении с NSCoding?

Question

вот что: есть некоторые данные, которые хранятся в устройстве с использованием сериализации NSCoding.

Хотелось бы узнать, есть ли способ, которым другие люди могут найти ключ и unarchived сериализованный объектный файл для получения данных?

Спасибо за помощь.

Answer 1

От этого зависит. Каждому приложению предоставляется собственная «песочница» в файловой системе. На устройстве, которое не было взломанным, приложение не может смотреть за пределами собственной песочницы. Однако, когда пользователь подключает свое устройство к Mac или ПК, можно использовать приложения-утилиты, такие как iExplorer (http://www.macroplant.com/iexplorer/) для доступа к песочнице каждого приложения на своем устройстве.

Answer 2

Нельзя хранить конфиденциальные данные только с помощью NSCoding. Значения NSCoded никоим образом не зашифровываются - вам даже не нужно знать ключи - вы можете просто смотреть на сохраненный файл напрямую и легко видеть значения, если они являются строками.

Чувствительные данные (в частности, ключи доступа API, обеспечивающие привилегированный доступ к веб-службам или финансовой информации) в идеале не должны храниться на клиентском устройстве вообще. Даже при зашифрованном виде. В крайнем случае, черная шляпа, у которой установлено ваше приложение на своем устройстве, может монтировать атаку «человек в середине» и отслеживать ваш интернет-трафик с вашим сервером. Вместо этого вы должны использовать подход маркера к конкретному устройству, если он касается безопасности, поэтому при необходимости можно аннулировать токен, не затрагивая других пользователей.

Если у вас есть действительно, вы должны посмотреть на двухфакторную аутентификацию в дополнение к токену.

intro для дальнейшего ознакомления.