Я хочу использовать общедоступное хранилище CloudKit для подключения приложения для обмена сообщениями. Все сообщения будут храниться в общедоступном хранилище, а пользователи-отправители и получатели - как отношения, таким образом, кто-то, использующий мое приложение, может получить все сообщения, в которых они являются отправителем или получателем.Использование общедоступного хранилища CloudKit для хранения сообщений - проблемы с безопасностью
Я обеспокоен тем, что эти сообщения могут быть прочитаны другими. Я не уверен, что, как можно получить доступ к самой базе данных из-за пределов моего приложения, но если бы это было возможно, кто-то мог бы видеть и читать все эти сообщения.
Роли Под безопасности для сообщения, он установлен в:
World: Читать
Аутентифицированный: чтение, создание
Creator: чтение, создание, запись
Значение кто является аутентифицированный и созданный объект (Message) может редактировать или удалять его, человек, прошедший проверку подлинности, может создавать новые сообщения, и каждый может читать сообщения.
Мне интересно, открывает ли этот «мир» доступ к уязвимостям, и, возможно, установка только аутентифицированных и создателей, поскольку привилегия чтения запрещает людям получать доступ к моим данным.
Я просто хочу быть уверен, что кто-то другой не может претендовать на мое уполномоченное приложение, или как-то добавить в их собственных вызовов должно работать изнутри приложение, которое будет раскрывать эти данные. – Andrew
Я думаю, что в теории кто-то может сделать джейлбрейк на своем iPhone, установить приложение и ввести код. Затем ему еще нужно войти в аккаунт iCloud, и все действия по-прежнему ограничены правами, которые вы установили. По умолчанию вы можете только обновлять записи, которые вы также создали. Но это почти то же самое, что и кто-то, подключившись к веб-сайту, и попробовал обновления системы для системы. Затем просто добавьте обнаружение джейлбрейка в ваше приложение: https://cocoapods.org/?q=jailbreak –
Но тогда они смогут прочитать все сообщения, если они добавят вызов, чтобы просто получить все, что есть сообщение? Кажется, что нет разрешения разрешать всем, кто связан с получателем, например. – Andrew