¿Es seguro que una aplicación de iPad ejecute un servidor webDAV en localhost sin autenticación?

2

Tengo dos aplicaciones de iPad ejecutándose en el mismo dispositivo.

Uno está alojando un servidor webDAV en enlace sin ninguna autenticación (el servidor está activo mientras la aplicación está en primer plano, y durante unos minutos mientras está corre en el fondo). ¿Esto significa que solo otras aplicaciones que se ejecutan en el mismo iPad podrán acceder al servidor? ¿Es esto seguro de ataques externos?

La segunda aplicación lee y escribe archivos desde el servidor webDAV utilizando GET, PUT y PROPFIND.

Gracias de antemano.

    
pregunta OliverD 24.08.2015 - 13:52
fuente

1 respuesta

1

Esto es principalmente seguro.

Para interceptar el tráfico de localhost, un atacante necesitaría privilegios de root y en este punto ya perdió porque el atacante también puede leer y modificar la memoria a voluntad. Ninguna criptografía lo ayudará, ya que el atacante obtendrá sus datos confidenciales directamente. fuera de la memoria.

El único problema que veo es que no puedes probar que es realmente tu aplicación con la que estás hablando. ¿Qué sucede si otra aplicación inicia repentinamente un servidor en el mismo puerto? Para mitigar esto, necesitaría generar una clave y un certificado autofirmado en la primera ejecución de la aplicación, y hacer que cualquier otro navegador / aplicación que habla con esa primera aplicación confíe en el certificado. Si alguna aplicación maliciosa inicia un servidor en el mismo puerto, no podría suplantar su aplicación real.

Finalmente, esto parece ser una forma burda de hacer IPC entre aplicaciones. ¿Por qué no confiar en lo que el sistema operativo ya ofrece como Grupos de aplicaciones? Si eres el desarrollador de ambas aplicaciones, puedes hacer que compartan el mismo grupo para que tengan alguna forma de hacer IPC así como tener almacenamiento compartido:

  

Use grupos de aplicaciones para permitir el acceso de múltiples aplicaciones a contenedores compartidos y permitir la comunicación adicional entre procesos entre las aplicaciones. Para habilitar grupos de aplicaciones, en el panel de Capacidades, haga clic en el interruptor en la sección Grupos de aplicaciones. Puede seleccionar grupos de aplicaciones existentes de la tabla o agregar grupos de aplicaciones.

    
respondido por el André Borie 24.08.2015 - 14:14
fuente

Lea otras preguntas en las etiquetas