新しいレポートは、フォレスターから計算された、iPhone用アプリケーションを構築するセキュリティで保護されたの焦点のトピックを表示します。 IOSの人気企業や消費者の間で考えれば、開発者は、携帯アプリは、適切な機密データを処理することを確保するためのベストプラクティスを理解することが重要です。これは、特に該当する場合、金融セクターのための建物のアプリ。
お客様の個人データは、IOSのデータ保護機能とガイドラインに注意する必要があります処理アプリケーションを構築する人 - しかし、金融決済業界は、セキュリティ管理の理解の恩恵を受けることのできる唯一のものではありません。
スポンサー
IOSの4その他のセキュリティ
レポート作成者Chenxi王のノートAppleは、フルディスクの欠陥を除去するためにファイルの保護とファイルレベルの暗号化を向上させるために複雑な英数字のパスワードのサポート、パスワードベースの暗号化を含むIOSの4の立ち上げと強力なデータ保護機能の数を導入した暗号化。
これが何を意味するのiPhoneまたは計算がされていることをされていることをデバイスに犯罪収益の物理的なアクセスは、データは、パスワードが存在しない場合でも、暗号化されたままにいても。また、誰かがディスクイメージを取ることができないとパスワードのブルートフォース攻撃を実行するには、デバイス鍵は、デバイスのハードウェアで提供されていますので、ことを意味します。これは、オンライン攻撃にブルートフォース攻撃を変換するだけで、王によると、ハンドルが簡単です。
4つの基本的なタスクは、アプリケーション内のデータを保護する
報告書によると、開発者が順番にアプリでデータの保護を確実にするためにしなければならない4つの主要なステップがあります。
- 実行アプリケーションアーキテクチャのセキュリティ評価:アプリケーション開発設計をアーキテクチャ実装チームは開始して評価が必要になる前に、チームのセキュリティを実行で。 "それは必要に応じてこのデバイス上でユーザーの資格情報を格納することはできますか?"のような質問は、物事を含めることができますまたは"どのような認証プロトコルを私たちは、JSON / RESTの上に実装する必要があります?"これはただのモバイルアプリケーションに適用される実践されていない場合、Wangはを思い出させてくれます。
- 宣言は、クラスのデータ保護の権利:選択"ProtectionComplete"ファイルをする場合IOSは、暗号化する必要が常にパスワードだけを自分たちの入力復号化、それをユーザーがする。ファイル保護は、パスワードに接続されていない場合、デバイスが起動された時点ですぐ利用できるようになる"ProtectionNone"を選択します。この後者のオプションは、どのようにIOSの3作品です。
- キーホルダーに入れて資格情報:キーチェーンは用意しています3つの保護クラスに特別に保護されたオブジェクト:AvailableWhenUnlocked"、"AvailableAfterFirstUnlock"と"AvailableAlways""バックグラウンドタスクに必要な資格については、"AvailableAlways"を使用する必要があります。 "AvailableWhenUnlockedは、""、ProtectionComplete"上記のようなものですが、ファイルシステムオブジェクトです。 "AvailableAfterFirstUnlock"データを起動するユーザーが自分のパスワードを入力するまで後に暗号化続けている。
- パージデータを正しく:データのロックされたメモリのローカルニーズから削除される適切にであり、例外をデバイスが到達不能を適切に処理データ。
報告書はまた、一般的にIOSのアプリを構築するプログラマのためのいくつかのベストプラクティスを示しています。これらは、確実にユーザーが最強のデータ保護クラスではなく、使用して、アプリケーションのための認証コンポーネントを決定し、資格情報を保存する(唯一絶対に必要に応じて、王を推奨)かどうかを決定する、アプリケーションがどのプロセスデータとどのように決定し、パスワードベースのエントリを有効に含まれて電話番号、IMEI番号とICCDの許可なしのような個人的な携帯電話のデータをアクセスします。
の手順を実行し、詳細についての詳細は、完全なレポートを見つけることができます
0 件のコメント:
コメントを投稿