iOS: possibile problema di sicurezza del DB cache?

Naviga le tue risposte
3

Al momento ho trovato qualcosa di interessante quando sfoglio il file cache.db dell'app per iPhone.

C'è una tabella chiamata cfurl_cache_receiver_data e c'è una colonna chiamata receiver_data. Questo contiene tutta la risposta richiesta HTTP che la mia app riceve dall'API. Il problema è che c'è una richiesta HTTP che risponde con la chiave API dell'utente. La colonna mostra questi dati in testo semplice.

La mia domanda è: dovrei preoccuparmi di questo? Abbiamo un modo in cui l'utente può modificare / eliminare la propria chiave API come protocollo di sicurezza.

Modifica:

È qui che ho trovato la cache.db nel caso in cui aiuti qualcuno a capire la mia preoccupazione.

/Users/(username)/Library/Developer/CoreSimulator/Devices/B24F612C-8DC2-4599-86EB-BC6D75FF05DE/data/Containers/Data/Application/97AEA1EE-28B4-4744-B23B-FA5424F98E49/Library/Caches

Ho aggiornato la mia domanda perché tutti i dati in questa colonna sono in realtà le risposte dall'API e non le richieste che invio.

    
posta Curt Rand 19.12.2017 - 19:29
fonte

1 risposta

1

Questo è memorizzato sul dispositivo dell'utente in una directory accessibile solo alla tua app. Come si archivia normalmente la chiave API per l'utente? Se la risposta è in chiaro, non è meno sicuro.

Se si memorizza la chiave API in un ambiente crittografato, ad esempio il portachiavi, ciò rende la protezione inutile.

Se sei preoccupato, imposta le intestazioni di controllo della cache in modo appropriato sulle richieste sensibili. Cioè.

Cache-Control: no-cache, no-store

    
risposta data 19.12.2017 - 19:47
fonte

Leggi altre domande sui tag

L'inserimento dell'intestazione dell'host è possibile senza la cache o la reimpostazione della password? Implicazioni sulla sicurezza dell'aggiunta di nessuno al gruppo mobile