无丢失客户机/服务器体系结构(iOS)

Question

我目前正处于规划一个涉及无丢失服务的项目的阶段。

用户将通过在客户端(ios)上创建的唯一设备id来标识。

什么是安全问题？防止攻击的常见模式是什么？

• 套接字将用ssl包装。
• 创建一个私人证书来验证客户端？(如果有人对二进制文件进行反编译并获得它呢？)

任何想法都是感激的。

Answer 1

在这种情况下，谁是“攻击者”？您是在保护您的用户不受攻击，还是将您的用户视为攻击者？任何将用户视为攻击者的方案都是DRM方案，而不是安全方案。安全和DRM有着完全不同的问题，DRM问题是无法解决的。只有通过不断的努力和修补，才能减轻这一问题。

在iOS中创建唯一的id很简单(请参阅CFUUIDCreate)，但它只绑定到特定的安装，而不是设备。如果用户删除了程序，而没有将UUID保存到其他地方(比如iCloud)，那么下次创建UUID时，情况就会有所不同。

用户可以通过身份验证。他们脑子里藏着秘密。像iPHone这样的通用设备不能以授权用户无法伪造的方式进行身份验证。这是一个非常复杂的方式，可以说越狱问题是无法解决的，如果你不是苹果公司的话，花很多钱来解决这个问题也不值得。(他们花在阻止越狱上的钱比你在整个开发预算中可能花的钱多得多，而且他们无法阻止越狱行为；你不可能在更好的事情上有所建树。)

有一些方法可以弱地识别设备。特别是，您可以使用MAC地址。苹果很有可能会在未来夺走这一切。他们已经删除了其他唯一识别设备的方法，因为它们太容易被滥用来监视用户。

创建一个私有证书来对用户进行身份验证是很棒的。来验证程序？这只是混淆，如果你的程序是值得的麻烦，它将很快退出。

这个一般性的话题已经讨论过很多次了。有关多个讨论的链接，请参阅下面的链接。如果你之前有更多的问题没有涉及到，请告诉我们。

Best practices for iOS applications security