iOS Serialisation and Encoding
Kod i więcej informacji w https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence.
Serializacja obiektów w rozwoju iOS
W iOS, serializacja obiektów polega na konwertowaniu obiektów na format, który można łatwo przechowywać lub przesyłać, a następnie rekonstruowaniu ich z tego formatu w razie potrzeby. Dwa główne protokoły, NSCoding
i NSSecureCoding
, ułatwiają ten proces dla Objective-C lub podklas NSObject
, pozwalając na serializację obiektów do NSData
, formatu, który opakowuje bufor bajtów.
NSCoding
Implementacja
NSCoding
ImplementacjaAby zaimplementować NSCoding
, klasa musi dziedziczyć po NSObject
lub być oznaczona jako @objc
. Ten protokół wymaga implementacji dwóch metod do kodowania i dekodowania zmiennych instancyjnych:
Zwiększanie bezpieczeństwa za pomocą NSSecureCoding
NSSecureCoding
Aby zminimalizować luki, w których atakujący wstrzykują dane do już skonstruowanych obiektów, NSSecureCoding
oferuje ulepszony protokół. Klasy zgodne z NSSecureCoding
muszą weryfikować typ obiektów podczas dekodowania, zapewniając, że tylko oczekiwane typy obiektów są instancjonowane. Należy jednak zauważyć, że chociaż NSSecureCoding
zwiększa bezpieczeństwo typów, nie szyfruje danych ani nie zapewnia ich integralności, co wymaga dodatkowych środków w celu ochrony wrażliwych informacji:
Archiwizacja danych za pomocą NSKeyedArchiver
NSKeyedArchiver
NSKeyedArchiver
i jego odpowiednik, NSKeyedUnarchiver
, umożliwiają kodowanie obiektów do pliku i późniejsze ich odzyskiwanie. Mechanizm ten jest przydatny do utrwalania obiektów:
Using Codable
for Simplified Serialization
Codable
for Simplified SerializationProtokół Codable
w Swift łączy Decodable
i Encodable
, ułatwiając kodowanie i dekodowanie obiektów takich jak String
, Int
, Double
itd., bez dodatkowego wysiłku:
To podejście wspiera proste serializowanie do i z list właściwości oraz JSON, co poprawia obsługę danych w aplikacjach Swift.
Alternatywy kodowania JSON i XML
Poza natywnym wsparciem, kilka bibliotek firm trzecich oferuje możliwości kodowania/odkodowywania JSON i XML, z których każda ma swoje własne cechy wydajnościowe i kwestie bezpieczeństwa. Niezwykle ważne jest staranne wybieranie tych bibliotek, szczególnie w celu złagodzenia luk, takich jak ataki XXE (XML External Entities), poprzez konfigurowanie parserów w celu zapobiegania przetwarzaniu zewnętrznych encji.
Kwestie bezpieczeństwa
Podczas serializowania danych, szczególnie do systemu plików, istotne jest zachowanie czujności wobec potencjalnego włączenia wrażliwych informacji. Zserializowane dane, jeśli zostaną przechwycone lub niewłaściwie obsłużone, mogą narażać aplikacje na ryzyko, takie jak nieautoryzowane działania lub wyciek danych. Zaleca się szyfrowanie i podpisywanie zserializowanych danych w celu zwiększenia bezpieczeństwa.
Referencje
Last updated