Утечка конфиденциальных данных при кешировании сетевых запросов на платформе iOS

Все блоги / Про интернет 16 апреля 2014 273   
Критичным аспектом в контексте информационной защищенности пользовательских данных является конфиденциальность передаваемых данных в процессе взаимодействия защищаемого приложения с веб-сервисами. Например, утрата конфиденциальности в приложениях, манипулирующих номером банковской карты и кодом аутентификации CVV2/CVC2, представляется уязвимостью критичной степени важности. Одной из распространенных ошибок при разработке защищенных приложений для мобильной платформы iOS, приводящих к частичной или полной утрате конфиденциальности передаваемых данных, является чрезмерное кэширование межсетевых запросов.

В контексте разработки приложений для мобильных платформ кэширование межсетевых запросов можно отнести к категории рекомендуемых и наиболее часто используемых практик, поскольку оно позволяет разработчикам значительно улучшить производительность приложения. Наборы средств разработки для современных мобильных платформ обычно включают в себя пакеты, автоматизирующие процесс обработки и кэширования межсетевых запросов, в частности HTTP-запросов.

Подобно кэшированию запросов динамической памяти или условных переходов в микропроцессорах, интерфейсы классов, кэширующих HTTP-запросы, являются прозрачными для разработчика и осуществляют кэширование на фоне. Продолжая аналогию с функциональным блоком кэширования в процессоре, можно отметить, что отсутствие представлений о внутреннем устройстве механизма кэширования зачастую приводит к грубым ошибкам программирования. В контексте мобильных приложений, неправильное использование кэша HTTP-запросов приводит к падению производительности приложения и частичной либо полной утрате конфиденциальности. Примером распространенной ошибки, приводящей к падению производительности, является повторное кэширование запросов приложением (Double caching).

Читать дальше →
  • Оцените публикацию
  • 0

Похожие публикации

[Из песочницы] Безопасность в iOS приложениях

Добрый день, Хабр! Представляю вашему вниманию перевод статьи про базовые основы безопасности конфиденциальных данных в iOS приложениях «Application Security Musts for every iOS App» автора Arlind Aliu. Безопасность приложений – один из самых важных аспектов разработки программного обеспечения.

подробнее »
Apple добавила в iOS 11.3 значок для обозначения запросов персональных данных

#новость

подробнее »
Burp Suite: швейцарский армейский нож для тестирования веб-приложений

Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и многое другое. Также существует магазин дополнений BApp store, содержащий дополнительные

подробнее »
Google анонсировала чистку Google Play от приложений без данных о политике конфиденциальности

Google разослала части разработчиков приложений письма, в которых сообщила о грядущем удалении некоторых сервисов из магазина Google Play. «Зачистка» коснётся тех приложений, у которых нет политики конфиденциальности пользовательских данных, пишет The Next Web.

подробнее »
Школа мобильной разработки «Яндекс.Денег»

«Яндекс.Деньги» проведут бесплатный курс по разработке Android- и iOS-приложений. Он рассчитан на тех, у кого уже есть опыт создания продуктов для этих платформ и кто хочет повысить свой профессиональный уровень. В конце курса студенты сдадут выпускной проект и получат сертификаты «Яндекс.Денег».

подробнее »
Построение собственной коммуникационной сети поверх I2P

При современных тенденциях, направленных на тотальное прослушивание и сбор всевозможной информации, использование защищённых средств коммуникации как никогда актуально. Шифрование самих передаваемых данных решает проблему лишь частично, поскольку сам факт обмена информацией между участниками важнее

подробнее »
@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent