ios - 越狱的 iOS 设备在使用 HTTPS 时是否可以访问 NSURLConnection 数据？

Question

我计划使用 HTTPS 在 iOS 客户端和管理 session ID 的服务器之间进行通信。我想完全隐藏 session ID。我的计划是将 session 数据存储在 Keychain Services 中，以防 NSHTTPCookieStorage在越狱设备上不安全。如果 session 数据可以在保存之前或客户端将其发送到服务器时读取，我很好奇是否有办法将其隐藏。

我对人类使用越狱设备读取 session 数据有两个担忧。

将 NSHTTPURLResponse 中的数据通过 HTTPS 接收到的设备是否能够以人类可读的方式从越狱设备中访问？

如果不是，是NSHTTPCookieStorage在越狱设备上使用安全吗？我知道其他应用程序无法在非越狱设备上访问它。

我不希望我的服务器 session ID 被流氓应用程序/人窃取；有没有办法让它隐藏起来？还是这些方法之一是最佳实践？

对不起，如果这是噪音。 (编程也在计划中)

Answer 1

I would like to keep the session id hidden, completely.

这是不可能的。

My plan was to store the session data inside Keychain Services, in case NSHTTPCookieStorage is not safe on jail broken devices

在越狱设备上也不是“安全的”(如果“安全”是指“设备所有者无法读取”)。

I am curious if there is a way to keep it hidden.

不。

Will data in a NSHTTPURLResponse received via HTTPS be able to be accessed as human readable from a jailbroken device?

是的。

If not, is NSHTTPCookieStorage safe for use on a jailbroken device? I know other applications cannot access it on Non-jailbroken devices.

否(鉴于上述“安全”的含义)。

I don't want my servers session id stolen by a rogue app/person; is there a way to keep it hidden?

不。

Or is one of these methods a best practice?

你可以做的是混淆和强化。混淆是各种试图使攻击者更难读取代码或数据的技术。硬化是使调试器附加到程序变得困难的各种技术。

如果您非常擅长混淆技术，并且拥有良好的强化技术，那么您可能会在几个月内减缓专门的攻击者的速度。您应该期望在您的技术被击败时定期更新您的技术(他们将会如此)。您应该为此雇用一个全职团队。

如果您在这方面不是很熟练，您可以执行一些基本的混淆技术，这些技术可能会使专门的攻击者减速一个小时左右。如果幸运的话，可能需要几个小时。如果您对此感兴趣，可以观看我最近在 various techniques 上的演讲。 .

请记住，如果有一种方法可以有效地向越狱设备的人隐藏 iPhone 上的信息，Apple 会简单地使用该技术来防止越狱。苹果控制着从芯片到操作系统的整个平台生态系统。如果他们无法通过所有这些来阻止越狱，那么您将在已经越狱的设备上做的事情相对较少。这并不意味着失去所有希望。这只是意味着你需要设定你的期望，并接受这是一个非常困难的问题，需要大量的持续成本来解决，而不是最基本的方法(尽管基本方法可能很有值(value)；参见上面的讨论)。

如果您想要更多链接和讨论，请参阅 Secure https encryption for iPhone app to webpage .