İOS kilitlenme günlüklerini herkese açık olarak yayınlamak güvenli mi?

8

Kullandığım iOS uygulamalarından biri son zamanlarda normalden çok daha fazla çöküyor, bu yüzden forumlarında bu konu hakkında mesaj gönderiyorum. Bir sürü kaza günlüğüm var.

İOS kilitlenme günlüklerini halka açık bir yerde yayınlamak güvenli mi? İçlerinde PII var mı?

İçlerinde çok fazla karma görüyorum. Tamamen keyfi / rasgele mi yoksa donanım adresimi mi içeriyorlar?

applications  ios  security  crash  logs 
Ken
kaynak
Onlara PII girerseniz, elbette kaza çok iyi içerebilir. Programcının program içindeki ağ veya cihaz verilerine erişmesini engelleyen hiçbir şey yoktur, bu nedenle herhangi bir kilitlenmenin gizlilikle ilgili endişeleri olup olmadığını öğrenmek için uygulamanın kaynak koduna erişmeniz gerekir.
bmike

Yanıtlar:

5

Kilitlenme günlükleri herkese açık olarak yayınlanabilir. İçlerinde sizin hakkınızda tanımlayıcı bir bilgi yoktur. Gördüğünüz tüm rastgele görünümlü metinler, Xcode tarafından yöntem adlarına sembolize edilen çeşitli yöntemlerin adresleridir. Bu, geliştiricilerin soruna neden olan tam kod satırını görmelerini sağlar.

Ayrıca, kopyalanan ve yapıştırılan kilitlenme günlüklerini sembolize etmek daha zordur. Geliştiricilerin kilit günlüklerini orijinal .crash dosyasında almaları daha yararlı olacaktır. Görünüşe göre bu artık böyle değil, sorun yok ve bir çökme günlüğü yapıştırma ve en son Xcode kullanarak simgeleme vardı.

Ben Baron
kaynak
Bu doğru değil: .crashdosyalar sadece düz metin dosyalarıdır. Kopyalanan ve yapıştırılan kilitlenme günlükleri yalnızca .crashdosya olarak kaydedilebilir ve normal görüntüleyicide görüntülenebilir. Bunun aslında herhangi bir avantajı yok. Tek potansiyel sorun, kopyalama ve yapıştırma aşırı boşluk kaldırıldığında biçimlendirme kaybıdır.
Konrad Rudolph
En azından kişisel deneyimimde, Xcode'da sembolize etmek için yapıştırılmış günlükleri hiç alamadım. Yeni Xcode sürümlerinde buna izin vermek için bir şey değişmedikçe, çalışmaz. Bir kilitlenme günlüğünün içeriğini yeni bir dosyaya yapıştırmaya ve .crash olarak kaydetmeye çalıştığınızda, Xcode düzenleyicisi onu yok sayar ve sinir bozucu komut satırı aracılığıyla el ile sembolize edilmelidir.
Ben Baron
1
Emin değil misiniz (yanlış) yaptığını ama ne .crashdosyalar olan sadece metin dosyaları. Bunu kolayca doğrulayabilirsiniz.
Konrad Rudolph
En son Xcode ile başka bir test yaptım ve bir kopya / yapıştırılan çökme günlüğünü sembolize etti. Bu artık bir sorun gibi görünmüyor, ancak Xcode 3 kullanırken geri döndüğümde herhangi bir kopyala / yapıştırılan günlükle ilgili sorun yaşadığım yemin ederim. Sorunun ne olduğundan emin değilim ama nedense işe yaramadılar.
Ben Baron
Zihinsiz bir kilitlenme raporu yayınlamanın pek bir anlamı yoktur. Zihinsiz olmanın güvenli olduğunu cevaplamak, sigara imo'yu yakmazsanız sigara içmenin güvenli olduğunu söylemeye benzer.
Declan McKenna
2

Hayır - evrensel veya kesin olarak güvenli değil.

Herhangi bir programcı çok kişisel verileri açık bir şekilde kaydedebilir, böylece tasarımcıların ve programcıların sanitize etmek ve herhangi bir kişisel veriyi bir kazada açığa vurmamak için merhametlisiniz.

Belirsizliğe göre güvenlik (değerler onaltılıktır) oldukça iyidir ve hassas bir şeyin açıkta kalma şansı çok düşüktür, ancak bir kilitlenme raporunu herkese açık olarak paylaşmak gizliliğiniz için tehlikeli olabilir.

Bir aygıt GUID'sinin ne olduğunu ve yığın izini veya onaltılık karakterleri nasıl okuyacağınızı gerçekten anlayana kadar hiçbir şey göndermeyin derim. Ayrıca riskiniz doğrudan programın doğasından etkilenir. Tiny Wings hiçbir şey bilmiyor çünkü ben hiçbir şey söylemedim. Adres defterimi veya konum / iletişim bilgilerimi de taramam mümkün değil.

Diğer taraftan, bankacılık programım PIN numaralarını ve girmiş olduğum şeyleri şifrelemeden önce net bir şekilde saklamak zorunda. 1Password, sosyal güvenlik numaram gibi hassas verilerle çalışır. Program sonunda verileri şifreli olarak saklayabilse bile - bir çarpışma raporu, verilerin ekranda açıkça gördüğünüz bir şeye dönüştürüldüğü noktada - bir dizi rakamla çökebilir. Temel olarak, kısa bir süre için veriler korunmaz.

Genel soru "Göndermek güvenli mi?" uygulamada depolanan verilerde başka nitelikler olmadan hayır olmalıdır . Özellikle internet gibi kamuya açık ve kalıcı bir şeye gönderirken.

bmike
kaynak
duymak duymak, maruz kalan tüm verileri kendiniz geçmedikçe ve bu nedenle tavsiyeye ihtiyacınız yoksa, gerçekten hiçbir garantiniz olmayabilir.
ConstantineK
Özel verilerin (örnek değerleri) Yığın İzleri'ne girdiğini mi iddia ediyorsunuz? Aygıt GUID'in yaptığını biliyorum, ancak özel bir Yığın İzi'ne girdiğini başka ne iddia ediyorsunuz?
Jason Salaz
Hayır - uygulama mağazası kuralları bu tür şeyleri önlemeye çalışır (kendi kendini değiştiren kod ve hepsi) - ancak hiçbir şey programcı uzaktan hata ayıklama için veri kodlamada yaratıcı olmak istiyorsa bunu engellemez. Bu pek olası değildir, ancak ARM kayıtlarındaki veriler özel olabilir. Çok, çok düşük - belki de cevabımı daha az güçlü olacak şekilde düzenlemeliyim? Toplu kilit günlüklerimin veya CrashReporter Anahtarımın genel kayıt olmasını istemem. Çökme raporu kasıtlı olarak özel verileri paylaşmayacak şekilde tasarlanmıştır, ancak programlar planlandığı gibi davranmadıklarında çöker.
bmike
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.