ios - 通过在 URL 中嵌入密码从私有 iOS 应用程序中访问受密码保护的网站有哪些安全风险?
问题描述
我想用jasonette开发一个私人分布式 iOS 应用程序,作为我受密码保护的网站的网关。访问该网站的凭据将直接嵌入在 URL 中,即“ https://user:pass@website.com ”
此解决方案涉及哪些安全风险?
以下是一些进一步的考虑:
- 该网站应该仅供拥有该应用程序的人访问。
- 相关网站受 SSL 保护
- 对于那些熟悉 jasonette 的人:指向配置 JSON 的 URL 和 JSON 中的 URL 都将使用嵌入式密码
- 该应用程序将仅限于 Apple Store Connect 上的组织
以下是我的一些担忧:
- 设备的不受欢迎用户以明文形式查找登录凭据
- 设备上的恶意软件从我的应用程序获取登录凭据
- 中间人在连接到网站时获取登录凭据(url 的用户名:密码部分是否被加密?)
解决方案
推荐阅读
- python - 在 Python 中取消转义 XML 属性
- testing - Skype bot 是否由 Botium 自动化?
- ios - Appium 1.10.0 和 IOS (12.1.2) 的 WDA 连接超时
- jupyter-notebook - Jupyter:如何仅在一条路径中搜索内核
- javascript - 从请求节点 HTTP 服务器获取源 URL
- javascript - Angular [innerHTML] 无法正常工作
- mysql - 如何从表消息和查看的消息中创建“读取消息”查询?
- c# - 当另一个打开时如何关闭嵌套的gridview
- jquery - JQuery 对话框类
- reactjs - react, gatsby - 如何在 React 类组件中访问 GraphQL 查询数据