1
我的程序讓用戶創建一個用於訪問程序數據的密碼。在創建過程中,程序流程如下:是否將敏感數據臨時存儲在iVar中構成安全威脅?
- 要求用戶輸入密碼
- 要求用戶重新輸入密碼,
- 如果通行碼比賽繼續進行,否則到步驟1並開始處理
爲了比較兩個輸入的密碼,我將密碼臨時存儲到一個實例變量中。這可能是一個潛在的安全漏洞嗎?如果是這樣,爲什麼這是一個問題,你的解決方案是什麼?也許存儲它的散列版本?謝謝!
A
回答
1
我認爲你的方法如果罰款(將密碼存儲在iVar中)。
也許你需要爲自己定義「安全漏洞」。當然,攻擊者可能會從竊取的iPhone中讀取存儲內容並重建密碼。 但是數據是否合理?
您可以通過用空字節(與輸入的密碼長度相同)覆蓋您的內存來提高您的安全概念,刪除內存中所有明文密碼的引用,並保留輸入密碼的SHA256。 還要確保在接收UIApplicationDidEnterBackgroundNotification時覆蓋空字節並進行刪除。
但我認爲這不值得這樣做。
0
將密碼臨時存儲在iVar中沒有任何問題。
相關問題
- 1. .NET安全存儲敏感數據
- 2. 在智威湯遜有效負載中存儲敏感數據安全嗎?
- 3. 在Rails 4中存儲臨時敏感數據
- 4. 將敏感數據存儲在本地Stoarge或會話存儲中是否安全?本地存儲允許對敏感數據進行任何攻擊
- 5. 安全地在vb.net中存儲敏感數據的地方
- 6. Javascript安全:是否將敏感數據存儲在比Cookie更安全的自我調用功能中?
- 7. 如何將敏感數據安全地存儲在MySQL數據庫中?
- 8. 將敏感數據保存在未推送的分支中是否安全?
- 9. Silverlight安全 - 敏感數據
- 10. 在內存中存儲敏感數據
- 11. Java - 存儲敏感數據
- 12. 存儲敏感數據
- 13. 在indexedDB中存儲敏感數據?
- 14. 在mongodb/node中存儲敏感數據
- 15. 在Windows Phone中存儲敏感數據
- 16. 在PHP中存儲敏感數據
- 17. 在Silverlight中存儲敏感數據
- 18. 安全存儲敏感配置數據,如連接字符串
- 19. PHP:MySQL的 - 安全威脅
- 20. 休眠與安全威脅
- 21. HTTPS安全受到威脅
- 22. 彗星般的行爲是否會使用node.js構成安全威脅?
- 23. 存在速度/安全性差異在臨時表中存儲臨時數據?
- 24. 在MySQL *中臨時存儲明文密碼是否安全?
- 25. Android - 將敏感數據存儲在sqlite數據庫中
- 26. 將敏感數據存儲在MySQL數據庫中
- 27. 敏感數據已被髮送後關閉SSL是否安全?
- 28. 如何在PHP中安全地存儲包含敏感數據的cookie?
- 29. 在iCloud中存儲敏感應用程序數據有多安全?
- 30. 這是安全的保持敏感數據在SQLite中
喬納斯 - 是的數據可能是非常敏感的,例如,CC信息,網上銀行的用戶名/密碼等。這會改變你的答案嗎? – 2012-04-10 20:59:27
好的。然後採取空字節覆蓋的東西(我剛剛更新了我的答案)。 – 2012-04-11 06:28:16