HackTricks

Κώδικας και περισσότερες πληροφορίες στο https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence.

Σειριοποίηση Αντικειμένων στην Ανάπτυξη iOS

Στην iOS, η σειριοποίηση αντικειμένων περιλαμβάνει τη μετατροπή αντικειμένων σε μια μορφή που μπορεί να αποθηκευτεί ή να μεταδοθεί εύκολα, και στη συνέχεια την ανακατασκευή τους από αυτή τη μορφή όταν χρειάζεται. Δύο κύρια πρωτόκολλα, NSCoding και NSSecureCoding, διευκολύνουν αυτή τη διαδικασία για τις υποκλάσεις Objective-C ή NSObject, επιτρέποντας στα αντικείμενα να σειριοποιούνται σε NSData, μια μορφή που περιβάλλει τα byte buffers.

NSCoding Υλοποίηση

Για να υλοποιηθεί το NSCoding, μια κλάση πρέπει να κληρονομήσει από το NSObject ή να είναι επισημασμένη ως @objc. Αυτό το πρωτόκολλο απαιτεί την υλοποίηση δύο μεθόδων για την κωδικοποίηση και την αποκωδικοποίηση των μεταβλητών στιγμής:

class CustomPoint: NSObject, NSCoding {
var x: Double = 0.0
var name: String = ""

func encode(with aCoder: NSCoder) {
aCoder.encode(x, forKey: "x")
aCoder.encode(name, forKey: "name")
}

required convenience init?(coder aDecoder: NSCoder) {
guard let name = aDecoder.decodeObject(forKey: "name") as? String else { return nil }
self.init(x: aDecoder.decodeDouble(forKey: "x"), name: name)
}
}

Ενίσχυση Ασφάλειας με το NSSecureCoding

Για να μετριαστούν οι ευπάθειες όπου οι επιτιθέμενοι εισάγουν δεδομένα σε ήδη κατασκευασμένα αντικείμενα, το NSSecureCoding προσφέρει ένα ενισχυμένο πρωτόκολλο. Οι κλάσεις που συμμορφώνονται με το NSSecureCoding πρέπει να επαληθεύουν τον τύπο των αντικειμένων κατά την αποκωδικοποίηση, διασφαλίζοντας ότι μόνο οι αναμενόμενοι τύποι αντικειμένων δημιουργούνται. Ωστόσο, είναι κρίσιμο να σημειωθεί ότι ενώ το NSSecureCoding ενισχύει την ασφάλεια τύπου, δεν κρυπτογραφεί τα δεδομένα ή δεν διασφαλίζει την ακεραιότητά τους, απαιτώντας πρόσθετα μέτρα για την προστασία ευαίσθητων πληροφοριών:

static var supportsSecureCoding: Bool {
return true
}

let obj = decoder.decodeObject(of: MyClass.self, forKey: "myKey")

Αρχειοθέτηση Δεδομένων με το NSKeyedArchiver

NSKeyedArchiver και ο αντίστοιχός του, NSKeyedUnarchiver, επιτρέπουν την κωδικοποίηση αντικειμένων σε ένα αρχείο και την αργότερα ανάκτησή τους. Αυτός ο μηχανισμός είναι χρήσιμος για τη διατήρηση αντικειμένων:

NSKeyedArchiver.archiveRootObject(customPoint, toFile: "/path/to/archive")
let customPoint = NSKeyedUnarchiver.unarchiveObjectWithFile("/path/to/archive") as? CustomPoint

Χρησιμοποιώντας το Codable για Απλοποιημένη Σειριοποίηση

Το πρωτόκολλο Codable της Swift συνδυάζει το Decodable και το Encodable, διευκολύνοντας την κωδικοποίηση και αποκωδικοποίηση αντικειμένων όπως String, Int, Double, κ.λπ., χωρίς επιπλέον προσπάθεια:

struct CustomPointStruct: Codable {
var x: Double
var name: String
}

Αυτή η προσέγγιση υποστηρίζει την απλή σειριοποίηση προς και από λίστες ιδιοτήτων και JSON, βελτιώνοντας τη διαχείριση δεδομένων σε εφαρμογές Swift.

Εναλλακτικές Κωδικοποίησης JSON και XML

Πέρα από την εγγενή υποστήριξη, πολλές βιβλιοθήκες τρίτων προσφέρουν δυνατότητες κωδικοποίησης/αποκωδικοποίησης JSON και XML, καθεμία με τα δικά της χαρακτηριστικά απόδοσης και ασφάλειας. Είναι επιτακτική ανάγκη να επιλέγονται προσεκτικά αυτές οι βιβλιοθήκες, ειδικά για να μετριαστούν οι ευπάθειες όπως οι επιθέσεις XXE (XML External Entities) ρυθμίζοντας τους αναλυτές ώστε να αποτρέπεται η επεξεργασία εξωτερικών οντοτήτων.

Σκέψεις Ασφαλείας

Κατά τη σειριοποίηση δεδομένων, ειδικά στο σύστημα αρχείων, είναι ουσιώδες να είστε προσεκτικοί σχετικά με την πιθανή συμπερίληψη ευαίσθητων πληροφοριών. Τα σειριοποιημένα δεδομένα, αν παγιδευτούν ή χειριστούν ακατάλληλα, μπορούν να εκθέσουν τις εφαρμογές σε κινδύνους όπως μη εξουσιοδοτημένες ενέργειες ή διαρροή δεδομένων. Συνιστάται η κρυπτογράφηση και η υπογραφή των σειριοποιημένων δεδομένων για την ενίσχυση της ασφάλειας.

Αναφορές

• https://mas.owasp.org/MASTG/iOS/0x06h-Testing-Platform-Interaction/#object-persistence