Sto tentando di mitigare l'esclusione SSL su un iOS jailbroken. Non riesco a trovare alcun buon lavoro come Mobile Substrate e SSL kill switch sono in grado di ignorare SSL.
Ho provato due cose:
- Blocco SSL
- Rileva il jailbreak e interrompe l'applicazione
Entrambi possono essere incrinati. La mia applicazione tratta i dati riservati, quindi è necessario proteggere da SSL kill switch e substrato mobile.
Modifica Grazie a tutti per le vostre meravigliose risposte. Recentemente mi sono imbattuto in un progetto di sicurezza OWASP , contenente i principali rischi che gli sviluppatori ignorano durante le fasi di sviluppo. Quindi la mia lista di controllo è diventata molto più grande:
- Controlli lato server deboli
- Memoria di dati non sicuri
- Protezione livello di trasporto insufficiente
- Perdita di dati indesiderati
- Scarsa autorizzazione e autenticazione
- Crittografia interrotta
- Iniezione lato client
- Decisioni di sicurezza tramite input non attendibili
- Gestione sessione non corretta
- Mancanza di protezioni binarie
Hanno anche un cheatsheet per test di sicurezza iOS . Quindi prendere tutte le misure di sicurezza è un mal di testa e non penso che il mio datore di lavoro sia pronto per questo, dal momento che richiede molto tempo. Quindi dalla lista che sto scegliendo:
- Protezione dell'archiviazione dei dati
- TLS (autorizzazione e autenticazione, ovvero SSL a 2 vie)
- Protezione binaria
Qualche opinione al riguardo, come se fosse sufficiente assicurare questi 3? Anche l'applicazione a cui sto lavorando è un'applicazione di e-banking se qualcuno sta facendo pubblicità.