계: Security Features
소프트웨어 보안은 보안 소프트웨어가 아닙니다. 여기서는 인증, 액세스 제어, 기밀성, 암호화, 권한 관리 등의 항목에 대해 설명합니다.
Authentication Bad Practice: Ignored Authentication Method
Abstract
NSURLConnectionDelegate.connection(_:willSendRequestFor:) 대리자 콜백 메서드를 구현하면 시스템이 NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) 및 NSURLConnectionDelegate.connection(_:didReceive:) 메서드를 무시하게 합니다.Explanation
NSURLConnectionDelegate.connection(_:willSendRequestFor:) 대리자 메서드를 사용하면 대리자가 연결 인증에 대해 정보에 기반한 결정을 즉시 내릴 수 있습니다. 대리자가 이 메서드를 구현하는 경우, NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) 또는 NSURLConnectionDelegate.connection(_:didReceive:) 메서드를 구현할 필요가 없습니다. 사실, 이런 메서드는 호출되지 않으므로 해당 메서드에 대한 모든 보안 검사는 무시됩니다.References
[1] connection(_:willSendRequestFor:) API documentation Apple
[2] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[3] Standards Mapping - OWASP API 2023 API2 Broken Authentication
[4] Standards Mapping - OWASP Mobile 2024 M3 Insecure Authentication/Authorization
[5] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-1
desc.structural.objc.authentication_bad_practice_ignored_authentication_method
Abstract
NSURLConnectionDelegate.connection(_:willSendRequestFor:) 대리자 콜백 메서드를 구현하면 시스템이 NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) 및 NSURLConnectionDelegate.connection(_:didReceive:) 메서드를 무시하게 합니다.Explanation
NSURLConnectionDelegate.connection(_:willSendRequestFor:) 대리자 메서드를 사용하면 대리자가 연결 인증에 대해 정보에 기반한 결정을 즉시 내릴 수 있습니다. 대리자가 이 메서드를 구현하는 경우, NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) 또는 NSURLConnectionDelegate.connection(_:didReceive:) 메서드를 구현할 필요가 없습니다. 사실, 이런 메서드는 호출되지 않으므로 해당 메서드에 대한 모든 보안 검사는 무시됩니다.References
[1] connection(_:willSendRequestFor:) API documentation Apple
[2] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[3] Standards Mapping - OWASP API 2023 API2 Broken Authentication
[4] Standards Mapping - OWASP Mobile 2024 M3 Insecure Authentication/Authorization
[5] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-1
desc.structural.swift.authentication_bad_practice_ignored_authentication_method