Steal cookie from webview

Question

В моем приложении я использую файлы cookie для реализации функции «Запомнить меня». Пользователь - это логин через webview, и если логин будет успешным, веб-страница установит cookie. Затем этот куки-файл используется для автоматического входа в систему при запуске приложений. Мне интересно, насколько безопасен этот куки-файл на устройстве. Есть ли способ украсть файлы cookie без устройства Jailbreaking? Если да, то как я могу сделать это безопасным?

Answer 1

вопрос является слишком широким для ответа особенно - вы должны думать о сужении следующих пунктов:

• Вы используете WKWebView или UIWebView? Они используют совершенно разные подходы для управления файлами cookie.
• Какие векторы атаки вы ожидаете и какой уровень безопасности имеет смысл с точки зрения вашего продукта?

В целом уровень безопасности и атак являются примерно такими же, как и у общего браузера. Вы можете посмотреть в OWASP TOP-10, чтобы гарантировать, что ваше веб-приложение защищено от основных атак.

С точки зрения устройства куки-файлы можно украсть из разблокированного устройства из файловой системы (используя приложения, такие как iExplorer) - вы можете использовать функцию iOS Data Protection.

EDIT

Для просмотра куки через IEXPLORER:

1. Скачать it;
2. Connect iPhone и разблокировать его
3. Launch IEXPLORER, выберите устройство -> Программы -> Ваше приложение
4. Вы увидите контейнер файловой системы для приложения иерархии
5. Navigate Library-> Cookies
6. Select. binarycookies файл и экспортировать его в файловой системе Mac (щелкните правой кнопкой мыши -> Экспорт в IEXPLORER)
7. Используйте .binarycookies reader