Campo password in chiaro all'interno dei profili VPN Apple Mobile

0

Ho qui creato un sito Web per fornire profili mobili ai dispositivi Apple BYOD per configurare le nostre VPN aziendali.

L'utente che autentica in quel sito, la sua password viene controllata contro il nostro annuncio, e viene quindi consegnato un profilo mobile firmato.

In iPhone / iPad, il file viene usato al volo e non salvato. Per quanto riguarda i portatili Mac, il file viene utilizzato, ma rimane nel file system.

Il problema di sicurezza è che la password è in chiaro per chiunque sia interessato ad aprire il file.

L'alternativa a mantenere il sito web potrebbe non essere la consegna della password nel profilo.

Il profilo mobile supporta in modo funzionale l'offuscamento del campo della password utente in qualche modo?

P.S. Sono a conoscenza dell'alternativa alternativa all'impostazione di uno schema di autenticazione alternativo per gli utenti con password non critiche. Non è la risposta che cerco in questo contesto dei dispositivi Apple.

    
posta Rui F Ribeiro 06.10.2016 - 11:27
fonte

1 risposta

0

Apparentemente, dal file di configurazione mobile, è sufficiente andare alla definizione dell'utente:

<key>XAuthName</key>
<string><<LOGIN>></string>
<key>XAuthPassword</key>
<string><<PASSWORD>></string>

E da lì, elimina la chiave XAuthPassword e la stringa / l'attributo.

Poiché XAuthName è presente durante la distribuzione, verrà richiesta la password, in questo modo non sarà in formato di testo libero nel file di provisioning.

    
risposta data 06.10.2016 - 12:48
fonte

Leggi altre domande sui tag