Bảo mật xung quanh NSHTTPCookieStorage được chia sẻ trên iOS

Question

Tôi đang cố gắng tìm chi tiết chính xác về điều này, vì vậy tôi hy vọng sẽ nhận được trợ giúp tại đây. Tôi đang tìm kiếm một số thông tin về cơ chế lưu trữ cơ bản của iOS chia sẻ NSHTTPCookieStorage:

• Khi cookie được lưu trữ bằng cách sử dụng NSHTTPCookieStorage chia sẻ, là có bất kỳ mã hóa được cung cấp theo mặc định, chẳng hạn như việc sử dụng các dịch vụ keychain? Hay là các cookie đơn giản được lưu trữ trong bản rõ bằng cách sử dụng NSUserDefaults?
• Tôi hiểu rằng các cookie được lưu trữ trong hộp cát của ứng dụng, vì vậy các ứng dụng khác sẽ không có quyền truy cập, nhưng hiểu biết của tôi là ai đó có quyền truy cập vật lý vào thiết bị có thể dễ dàng truy cập vào cookie của ứng dụng và giá trị của chúng (đặc biệt nếu chúng được lưu trữ không được mã hóa)?

Nếu người dùng phải xử lý một số dữ liệu nhạy cảm trong cookie nhưng muốn sử dụng xử lý/lưu trữ cookie mặc định (NSHTTPCookieStorage) của API NSURLSession chẳng hạn, lựa chọn nào sẽ là lựa chọn tốt nhất?

Xin lỗi, tôi biết tôi đã hỏi 3 câu hỏi riêng biệt nhưng mọi trợ giúp về điều này sẽ được đánh giá cao.

Cảm ơn.

Answer 1

Tôi không biết cách lưu trữ cookie cụ thể, nhưng tất cả tệp ứng dụng được mã hóa trên iOS, với khóa AES256 dành riêng cho ứng dụng. Các khóa này được bắt nguồn từ các khóa khác mà cuối cùng đến từ "vùng an toàn" bên trong chip CPU, điều này sẽ chỉ giải phóng các khóa khi người dùng mở khóa thiết bị. (Apple có một giấy trắng bảo mật khá toàn diện cho iOS mô tả chi tiết điều này.)

Vì lý do này, việc truy cập các tệp trên iOS rất khó khăn, kể cả khi bạn có thể lấy mật mã của thiết bị và mở khóa . Việc lưu trữ cookie thông thường có thể đủ an toàn cho các mục đích của bạn.