Apple 金融应用程序安全指南
我已阅读 Apple 提供的安全编码指南。我正在考虑开发一个金融应用程序。验证用户身份的最佳方法是什么? Apple 是否针对金融应用程序(与安全相关)提供了任何具体指南?
I have read the secure coding guide provided by Apple. I am looking at developing a financial application. What are the best methods to authenticate the user? Are there any specific guidelines for finance applications (relating to security) given by Apple?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
一般智慧:
不要以纯文本形式存储密码。虽然普通用户无法访问 iPhone 内部的文件,但越狱的 iPhone 具有完全 root 访问权限,能够查看捆绑包内部,并且可以轻松读取名为“userPass.txt”的纯文本文件。相反,使用 iPhone 的钥匙串来存储登录名和密码。
正如刚刚发生的 PayPal iOS 安全错误所证明的那样,在向服务器进行身份验证时,请务必使用安全的 HTTPS 连接。在开放 WiFi 网络上嗅探数据包的人能够利用当前的 iOS PayPal 应用程序并从空中获取凭据。
Just generic wisdom:
Don't store the password in plain text. Although the typical user can't access files inside of an iPhone, a jailbroken iPhone has full root access and will be able to peer inside the bundle, and can easily read a plain text file called "userPass.txt." Instead, use the iPhone's keychain to store logins and passwords.
As evidenced by PayPal's iOS security blunder that just happened, be sure to use a secure HTTPS connection when authenticating to a server. Someone packet sniffing on an open WiFi network is able to exploit the current iOS PayPal app and get credentials out of the air.