چگونه امنیت اپلیکیشن آی او اس خود را تامین کنیم؟ - بخش دوم
در مطلب قبلی شما را با امنیت اپلیکیشن های آی او اس و روش هایی برای پیاده سازی آن آشنا کردیم، در ادامه با ما همراه باشید تا سایر موارد را مورد بررسی قرار دهیم.
2. نتورکینگ
App Transport Security
امنیت و حریم خصوصی دستور کار اپل در طول سال های فعالیت خود بوده است، در راستای این گرایشات، اپل در رویداد WWDC سال گذشته به معرفی App Transport Security پرداخت.
با App Transport Security، اپل قصد دارد تا امنیت پلتفرم های خود و همچنین اپلیکیشن هایی را که در آنها به اجرا در می آیند ارتقا بخشد.
App Transport Security، اپلیکیشن ها را وادار به ارسال درخواست های شبکه با استفاده از یک ارتباط امن می کند. چنانچه App Transport Security برای اپلیکیشن فعال شده باشد، درخواست ها با استفاده از HTTPS ارسال می شوند. اپل بر تعهد خود نسبت به امنیت و حریم خصوصی تاکید دارد و این کار از طریق فعال سازی App Transport Security برای اپلیکیشن هایی که با Xcode7 ساخته شده اند، به انجام رسیده است.
برای کسب اطلاعات بیشتر درباره App Transport Security می توانید به +Envato Tuts مراجعه کنید، غیرفعال کردن App Transport Security ساده است، اما این نکته را در ذهن داشته باشید که یکی از اهداف App Transport Security مجبور کردن توسعه دهندگان به مد نظر قرار دادن رفتار شبکه اپلیکیشن ها می باشد.
با چه کسی ارتباط برقرار می کنم
تمامی اپلیکیشن ها به طور مجازی از شبکه استفاده می کنند، از این رو افراد بد نیت بر این جنبه از امنیت اپلیکیشن متمرکز می شوند. نتورکینگ موضوع پیچیده ای است و اپلیکیشن ها با آخرین دستاوردهای تکنولوژی ساخته می شوند تا اطلاعات موردنظر خود را به دست آورند.
به عنوان توسعه دهنده لازم است تا بهترین روش ها را به کار ببندید. App Transport Security و قوانینی که این تکنولوژی الزامی گردانیده مورد بحث قرار گرفت، اما موضوعات پیشرفته دیگری مانند certificate pinning نیز وجود دارند که بابت کسب اطمینان از جعلی نبودن سروری که اپلیکیشن با آن در ارتباط است، به کمک شما می آیند، لایبرری های مدرن مانند Alamofire نیز این فرآیند را تسهیل بخشیده اند.
3. اطلاعات حساس
داده های کاربر
بسیاری از اپلیکیشن ها اطلاعات حساسی از کاربر را استفاده یا ذخیره می کنند، گوشی های موبایل به طیف گسترده ای از اطلاعات کاربر دسترسی دارند که شامل اطلاعات شخصی و اطلاعات حساس ذاتی می باشد، برای نمونه می توان به موقعیت جغرافیای، فهرست مخاطبین و اطلاعات سلامتی کاربر اشاره کرد.
همانطور که پیش تر نیز در این مقاله به آن اشاره شد، نخستین پرسشی که باید از خود بپرسید، لزوم دسترسی به این اطلاعات و لزوم ذخیره سازی آن می باشد.
چنانچه شما قادر به دسترسی به اطلاعاتی هستید که در یک فریم ورک نیتیو مانند HealthKit وجود دارد، لزومی به تکرار و ذخیره اطلاعات مشابه احساس نمی شود. برای مثال اپل اپلیکیشن هایی را که اطلاعات سلامت کاربر را در iCloud ذخیره می کنند، رد می نماید.
اطلاعات را لوکال نگه دارید
با این تصور که شما نیازمند ذخیره سازی برخی اطلاعات حساس هستید، ذخیره سازی لوکال این اطلاعات را در نظر بگیرید. آیا لزومی برای ارسال این اطلاعات حساس به یک سرور ریموت وجود دارد؟
ذخیره سازی اطلاعات حساس با یک هشدار همراه است، چنانچه سروری که برای ذخیره سازی این اطلاعات مورد استفاده قرار می گیرد، در معرض خطر باشد، شما مسئول حفاظت از این اطلاعات خواهید بود.
گواهی ها
امنیت آنلاین در طول دهه های اخیر به طور فوق العاده ای تکامل یافته است. پروتکل های احراز هویت مانند OAuth برقراری ارتباط با وب سرویس ها را بسیار امن و شفاف گردانیده اند.
چنانچه اپلیکیشن نیازمند برقراری ارتباط با یک سرور امن است، نحوه مدیریت گواهی ها را مورد بررسی قرار دهید. آیا اپلیکیشن این اطلاعات را در حافظه نگه می دارد یا بر روی دیسک ذخیره می کند؟ چنانچه شما نام کاربری و رمز عبور کاربر را برای واکشی توکن دسترسی درخواست کنید، ذخیره سازی آن توکن دسترسی روش خوبی می باشد. اما آیا لزومی به ذخیره سازی نام کاربری و رمز عبور نیز هست، پاسخ این پرسش در اکثر شرایط منفی است.
برای اپلیکیشن هایی که با داده های بسیار حساس مانند اطلاعات سلامت یا مالی کاربر سر و کار دارند، نگه داشتن توکن دسترسی در حافظه به جای ذخیره آن بر روی دیسک، روش بهتری است و این توکن دسترسی طول عمر کوتاهی دارد و از بین می رود.
جمع بندی
امنیت اپلیکیشن یک جنبه اساسی از توسعه نرم افزار محسوب می شود، از این رو لازم است داده هایی را که اپلیکیشن به آنها دسترسی دارد و لازمه ذخیره سازی آنها را به دقت بررسی کنید. چنانچه تصمیم به ذخیره این داده های حساس گرفتید، از روش های مذکور جهت تامین امنیت این داده ها استفاده کنید. اطلاعات کاربر بسیار مهم است و باید به گونه ای درست مورد استفاده قرار گیرد.
http://code.tutsplus.com برگرفته از