如今是移動互聯(lián)網(wǎng)時代，智能手機幾乎可以完成所有想做的事情。感謝數(shù)以百萬計的應用程序，它們可以幫助我們完成所需的事情。無論是維護您在旅途中管理財務信息的時間表，所有事情都可以通過運行在我們智能手機上的移動應用來完成。由于這些應用程序可以訪問大量機密信息，因此作為開發(fā)人員，在我們開發(fā)應用程序時，我們需要遵循最高的安全標準，以使沒有資格獲得此信息的人無法訪問這些信息。

對于iOS設備，每天有超過十億的活動設備在使用iOS應用程序。在這里，我正在編譯iOS開發(fā)人員在開發(fā)應用程序時應牢記的各種安全實踐。

　　1.在移動應用中啟用ATS

隨著iOS 9和ELCapitan的發(fā)布，蘋果公司發(fā)布了ATS，該應用程序強制應用程序僅連接到安全網(wǎng)絡。這意味著應用程序與外界的任何連接都必須使用HTTPS協(xié)議和TLS1.2。

換句話說，ATS強制應用程序僅建立安全連接，而不使用HTTP。如果需要，可以通過在plist中進行顯式輸入來明確提及異常。

　　2. SSL證書固定

此技術對于應對MITM攻擊非常有效。SSL在“信任鏈”的基礎上工作。當應用程序/客戶端連接到服務器時，客戶端將檢查接收到的服務器的SSL證書是否受任何SSL證書頒發(fā)機構的信任。

這樣可以確保應用僅與指定服務器通信。App / Client捆綁了指定服務器的SSL證書，因此它可以與連接到服務器和本地證書時收到的SSL證書匹配。詳細信息僅需一篇文章。請繼續(xù)關注，將來我將就這些細節(jié)撰寫一篇文章。

　　3.將信息存儲在KeyChain中，而不是NSUserDefaults中

NSUserDefaults為我們提供了一種方法，可以保存在應用程序啟動和設備重啟之間需要保留的少量信息。保存為UserDefaults一部分的所有信息均以純文本格式保存在plist中，該列表未加密，任何有權訪問該設備的人都可以讀取。

如果我們想以加密形式保存信息，則需要使用KeyChain，這是一個加密容器，用于存儲應用程序和安全服務的密碼。Apple在Mac OS和iOS中使用相同的技術進行密碼管理。

　　4.避免將機密信息作為代碼存儲庫的一部分

任何秘密信息都不應成為存儲庫/代碼庫的一部分，而應使用在構建應用程序時注入的配置文件或環(huán)境變量。Xcode Config文件是一個不錯的選擇，該文件維護與特定目標有關的信息。一個使用案例是API密鑰，我們不應該將API密鑰作為代碼庫的一部分。我們可以使用包含API密鑰的配置文件。該文件可以在公司網(wǎng)絡內部托管，并且在構建應用程序和作為構建過程的一部分注入時可以讀取。

　　5.越獄檢測

黑客只需在越獄設備上花費很少的精力，就可以輕易地破壞應用程序的行為和邏輯。作為開發(fā)人員，我們需要確保使黑客盡可能難以獲取應用程序的內部細節(jié)。我們絕對應該添加邏輯，以在啟動應用程序時首先檢查越獄設備。并通知用戶后，可能會終止該應用程序。

　　6.僅調試日志

開發(fā)人員使用調試消息作為記錄應用程序行為的好方法。在開發(fā)應用程序時，這非常有用。在開發(fā)應用程序時，我們傾向于記錄一些信息以幫助開發(fā)人員構建功能。但是，如果黑客可以訪問它，則可以暴露該機密信息和該應用程序的內部運行情況。為了確保我們不會在提交到存儲的應用程序的版本上記錄消息，我們只需執(zhí)行以下操作即可對應用程序處于調試模式下的日志進行基本檢查。

#if DEBU

Gprint("log")

#endif

我們可以更進一步，制作一個記錄器，該記錄器將處理通過它的每個日志。請繼續(xù)關注，我將單獨寫一篇詳細的文章來介紹這一點。

　　7.第三方圖書館的使用

第三方庫是避免在移動應用中重新創(chuàng)建很多我們想做的事情的好方法。它們無疑為我們節(jié)省了很多時間，同時在使用第三方應用程序時需要注意一些事項。這些庫始終有將有害代碼注入我們的代碼庫的風險。

　　8.文件數(shù)據(jù)保護

每當我們在應用程序中保存任何文件時，都應使用這些選項來保存信息是一種安全的方法。

· 全面保護

· 除非打開，否則受保護

· 在首次用戶身份驗證之前受保護

· 無保護

9.屏幕錄制和捕獲

通過屏幕記錄或屏幕快照，可以從應用程序中暴露很多敏感信息。此安全檢查在銀行應用程序中起著至關重要的作用，如果執(zhí)行屏幕截圖或屏幕錄制，安全交易細節(jié)可能會受到損害。

上述就是關于如何保護iOS應用程序的網(wǎng)絡安全的全部內容，想了解更多關于網(wǎng)絡安全的信息，請繼續(xù)關注中培偉業(yè)。