从安全角度来看,这绝对不是问题,因为攻击者需要获得解锁的设备才能劫持正在进行的会话。因此,加密会话 cookie 的想法是相当荒谬的 - 而且 cookie 会自动设置,几乎没有可能被钩住。
即使可以对它们进行加密,当可以获得正在进行会话的未锁定设备时,这根本不会阻止任何事情。这个概念是有缺陷的并且没有得到很好的思考。
解决这个问题最简单的方法是:如果不想让WebView会话cookie保存到内部存储中,那么就不要使用来WebView获取它们——那么它显然不会保存它们。
我首先希望看到在锁定设备上绕过加密的概念证明。当拥有启用调试桥并禁用屏幕锁定的 root 设备时(这将提供攻击向量),安全问题与默认 cookie 存储设施完全不同。WebView
| 归档时间: |
|
| 查看次数: |
1075 次 |
| 最近记录: |