<span id="7ztzv"></span>
<sub id="7ztzv"></sub>


<span id="7ztzv"></span><form id="7ztzv"></form>


<span id="7ztzv"></span>
    

      

        <address id="7ztzv"></address>
            


					
            
						
            
													
							
            
							   Privacy Violation: Keyboard Caching
							
            
							
            ABSTRACT
            
							
            
							  這種標識函數錯誤地處理了機密信息。如果發生以上情況時顯示了敏感信息,程序就會危及用戶的個人隱私。
							
            
							
            EXPLANATION
            
							
            
							  Privacy Violation 會在以下情況下發生:

            1. 用戶私人信息進入了程序。

            2. 數據被寫到了一個外部介質,例如控制臺、file system 或網絡。 


            例 1:輸入 iOS 文本控件的輸入數據存儲在鍵盤緩存中。



            //In AppController.h
            @property (nonatomic, retain) IBOutlet UITextField *ssnField;



            上例中的代碼表示應用程序使用了收集敏感信息的輸入控件。輸入這些字段的任何信息都存儲在鍵盤緩存中。  

            鍵盤緩存是一個存儲在移動設備上的文件。如果移動設備丟失,可恢復鍵盤緩存文件以顯示輸入應用程序表單的敏感信息。

            可以通過多種方式將私人數據輸入到程序中:

            — 以密碼或個人信息的形式直接從用戶處獲取。

            — 由應用程序訪問數據庫或者其他數據存儲形式。

            — 間接地從合作者或者第三方處獲取。

            — 從移動數據存儲中檢索如下信息:地址簿、拍攝的照片、地理位置、配置文件、存檔的 SMS 消息等。

            有時,某些數據并沒有貼上私人數據標簽,但在特定的上下文中也有可能成為私人信息。比如,通常認為學生的學號不是私人信息,因為學號中并沒有明確而公開的信息用以定位特定學生的個人信息。但是,如果學校用學生的社會保障號碼生成學號,那么這時學號就應被視為私人信息。 

            安全和隱私似乎一直是一對矛盾。從安全的角度看,您應該記錄所有重要的操作,以便日后可以鑒定那些非法的操作。然而,當其中包含私人數據時,實際上這種做法就會帶來額外的風險。 

            雖然不安全地處理私人數據有多種形式,但是常見的風險來自于盲目的信任。程序員通常會信任程序運行的操作系統,因此認為將私人信息存放在 file system、注冊表或者獲得局部控制的資源中是值得信任的。然而,盡管某些特定資源已經被限制訪問,但仍無法保證所有能夠訪問該資源的個體都是可以信賴的。例如,2004 年,一個不道德的 AOL 員工把大約 9200 萬個客戶的私人電子郵件地址賣給了一個通過垃圾郵件進行營銷的賭博網站 [1]。

            鑒于此類備受矚目的信息盜取事件,私人信息的收集與管理正日益規范化。要求各個組織應根據其經營地點、所從事的業務類型及其處理的私人數據性質,遵守下列一個或若干個聯邦和州的規定:

            - Safe Harbor Privacy Framework [3]

            - Gramm-Leach Bliley Act (GLBA) [4]

            - Health Insurance Portability and Accountability Act (HIPAA) [5]

            - California SB-1386 [6]

            盡管制定了這些規范,Privacy Violation 漏洞仍時有發生。
							
            
							 								
            REFERENCES
            
																								   
            [1] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A6 Information Leakage and Improper Error Handling 
            
																									   
            [2] J. Oates AOL man pleads guilty to selling 92m email addies The Register
            
																									   
            [3] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3210.1 CAT II, APP3310 CAT I, APP3340 CAT I 
            
																									   
            [4] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3210.1 CAT II, APP3310 CAT I, APP3340 CAT I 
            
																									   
            [5]  California SB-1386 Government of the State of California
            
																									   
            [6] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 359 
            
																									   
            [7]  Financial Privacy:The Gramm-Leach Bliley Act (GLBA) Federal Trade Commission
            
																									   
            [8]  Health Insurance Portability and Accountability Act (HIPAA) U.S. Department of Human Services
            
																									   
            [9] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Information Leakage 
            
																									   
            [10]  Privacy Initiatives U.S. Federal Trade Commission
            
																									   
            [11] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 3.2, Requirement 3.4, Requirement 4.2, Requirement 6.5.5, Requirement 8.4 
            
																									   
            [12] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 3.2, Requirement 3.4, Requirement 4.2, Requirement 6.5.6, Requirement 8.4 
            
																									   
            [13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 3.2, Requirement 3.4, Requirement 4.2, Requirement 8.4 
            
																									   
            [14]  Safe Harbor Privacy Framework U.S. Department of Commerce
            
																									   
            [15] M. Howard, D. LeBlanc Writing Secure Code, Second Edition Microsoft Press
            
																														
            
							
            
							
            
							
            
							Copyright 2013 Fortify Software - All rights reserved.
							
            
							(Generated from version 2013.1.1.0008 of the Fortify Secure Coding Rulepacks)
							
            
							desc.structural.objc.privacy_violation_keyboard_caching
							
            
							
            
						
            

            <span id="7ztzv"></span>
            <sub id="7ztzv"></sub>
            

            <span id="7ztzv"></span><form id="7ztzv"></form>
            

            <span id="7ztzv"></span>
              

                

                  <address id="7ztzv"></address>
                      

亚洲欧美在线