Iphone 苹果二进制文件（密钥安全）有多安全

我正在为iPhone开发一个应用程序，它使用HTTP请求从Web服务器获取报价数据

我正在与另一位管理web服务的开发人员合作。我们使用MD5加密（简单xor）在iPhone和Web服务器之间传递数据

今天早上他向我提出了一个问题，坦率地说，这个问题超出了我的知识范围

“苹果二进制软件有多安全？”

他担心是否有人可以通过iTunes获得.app捆绑包，然后解码该捆绑包并直接访问我的源代码，从而获得我们用来编码数据的密钥

就我个人而言，我甚至不知道从哪里开始，但我确信那里有更多的知识渊博/狡猾的家伙

---

那么，有可能吗？如果是这样的话，我能做些什么来保护我的源代码呢？

二进制文件甚至都不是远程安全的。无论是通过iTunes下载还是在越狱的iPhone上，除了模糊处理，你什么都做不了，而坚定的对手总是会通过模糊处理。永远不要依赖于客户端应用程序中嵌入的东西的“保密性”，它不是秘密。曾经在任何平台上，使用任何语言，使用任何技术

如果您需要限制谁可以访问您的系统，则需要每个用户帐户。没有其他安全机制。苹果确实提供了通过iTunes帐户“认证”用户的方法，你可能想了解一下

此外，“MD5加密”也没有任何意义。MD5是一个带有加密应用程序的散列函数，但是说你在做“MD5加密”和“简单异或”是毫无意义的。我可以使用XOR和MD5做很多事情，很少有可以作为有意义的加密方案，并且与专家设计的实际算法（如AES）相比没有任何优势

使用HTTPS（HTTP over SSL）。没有理由不这样做，iPhone完全支持它。如果需要，至少可以从以下站点获得服务器的免费SSL证书。现在也有很多便宜的SSL证书提供商。谷歌一点

---

我强烈建议您和您的合作开发人员开始阅读信息安全方面的理论和实践，因为您似乎在这方面没有什么基础，而且可能存在一些严重的误解，这些误解会导致系统容易崩溃。

非常感谢您的回复。我认为我的行话显然不足以解释我在做什么。要将字符串发送到Web服务器，我需要对其进行Base64编码，然后使用一个键进行简单的XOR。我们使用的是HTTPS，他只是担心有人会获得密钥，显然他的担心是有根据的。HTTPS有更好的安全机制。您应该删除执行XORing的代码，因为它没有添加任何真正的安全性。在处理安全问题时，明确您的威胁模型确实有帮助：您害怕什么样的攻击？随机人窥探用户数据，还是合法用户窥探其手机发送到您服务器的数据？