iOS: ¿Posible problema de seguridad de la base de datos de caché?

Navega tus respuestas
3

Actualmente encuentro algo interesante cuando navego por el archivo cache.db de mi aplicación de iPhone.

Hay una tabla llamada cfurl_cache_receiver_data y hay una columna llamada receiver_data. Esto contiene toda la respuesta de solicitud HTTP que mi aplicación recibe de la API. El problema es que hay una solicitud HTTP que responde con la clave API del usuario. La columna muestra estos datos en texto plano.

Mi pregunta es ¿Debo preocuparme por esto? Tenemos una forma en la que el usuario puede cambiar / eliminar su clave API como protocolo de seguridad.

Editar:

Aquí es donde encontré cache.db en caso de que ayude a alguien a entender mi preocupación.

  

/ Users / (username) / Library / Developer / CoreSimulator / Devices / B24F612C-8DC2-4599-86EB-BC6D75FF05DE / data / Containers / Data / Application / 97AEA1EE-28B4-4744-B23B-FA5424F98E49 / Library / Caches

He actualizado mi pregunta porque todos los datos en esta columna son en realidad respuestas de la API y no de solicitudes que envié.

    
pregunta Curt Rand 19.12.2017 - 19:29
fuente

1 respuesta

1

Esto se almacena en el dispositivo de los usuarios en un directorio al que solo tiene acceso su aplicación. ¿Cómo almacena la clave API para el usuario normalmente? Si la respuesta está en texto simple, entonces esto no es menos seguro.

Si almacena la clave API en un entorno encriptado, digamos el llavero, esto hace que la protección sea inútil.

Si le preocupa, establezca los encabezados de control de caché de manera adecuada en las solicitudes confidenciales. Es decir,

  

Control de caché: no-caché, no almacenar

    
respondido por el Hector 19.12.2017 - 19:47
fuente

Lea otras preguntas en las etiquetas

Explotación de desbordamiento de búfer aún fallas seg Uso de la clave pública principal para verificar el mensaje firmado por subclave