Cómo no almacenar claves en iOS

No me gustan mucho los artículos en negativo: al final, en algunas ocasiones, uno no se entera de qué es lo que realmente tiene que hacer (la negación de la negación no siempre se hace bien, o se interpreta adecuadamente).

En How Not to Store Passwords in iOS un artículo sobre la maquinita de moda y la gestión de claves en ella. Concretamente con el ejemplo del tratamiento de claves por parte de la aplicación para actualizar WordPress, que no cononocía.

El aparato tiene un lugar para almacenar las claves de manera adecuda, keychain services y los desarrolladores no la utilizaban:

Mobile development brings both familiar and new challenges for creating secure applications. The iOS platform provides a number of strong security features with the Keychain and protection attributes introduced in iOS 4.0. As usual, it is up to developers, development teams, and security professionals to make sure that user data is handled securely and appropriate APIs are used correctly.

¿Nos suena? (¿Los desarrolladores utilizan las ayudas en seguridad?).
Si nos preocupa la seguridad de los sistemas que desarrollemos una de nuestras primeras tareas debería ser buscar la información sobre qué ayudas nos proporcionan para no meter la pata y poder utilizarlas adecuadamente.

2 pensamientos en “Cómo no almacenar claves en iOS

  1. El problema es que Apple pone muy facil almacenar la clave desprotegida, y bastante complicado hacerlo bien. Mientras que lo primero requiere un par de metodos a una clase bien documentada, lo segundo necesita, por lo que he leido y estoy intentando implementar yo, un bloque de unas 100 lineas usando Carbon a bajo nivel. El desarrollador que hace esto por sacarse unos ahorros por las tardes obviamente prefiere dedicarse a temas mas visibles para el usuario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s