Apple金融应用程序安全指南

Question

我已经阅读了Apple提供的安全编码指南。我正在考虑开发一个金融应用程序。对用户进行身份验证的最佳方法是什么？苹果对金融应用(与安全相关)有什么具体的指导方针吗？

Answer 1

这只是一个普遍的智慧：

不要以纯文本形式存储密码。尽管普通用户不能访问iPhone内部的文件，但越狱的iPhone拥有完全的根访问权限，能够窥视捆绑包内部，并且可以轻松地读取名为“userPass.txt”的纯文本文件。取而代之的是，使用iPhone的钥匙链来存储登录和密码。

正如贝宝刚刚发生的iOS安全错误所证明的那样，在向服务器进行身份验证时，一定要使用安全的HTTPS连接。在开放的WiFi网络上嗅探数据包的人能够利用当前的iOS PayPal应用程序获取凭据。