계: Security Features

소프트웨어 보안은 보안 소프트웨어가 아닙니다. 여기서는 인증, 액세스 제어, 기밀성, 암호화, 권한 관리 등의 항목에 대해 설명합니다.

Authentication Bad Practice: Missing Check against Protection Space

Abstract
NSURLConnection 대리자는 응용 프로그램이 특정 보호 공간에 대한 인증 챌린지를 처리하는 방법을 알고 있는지를 먼저 확인하지 않고 인증 챌린지를 처리합니다.
Explanation
NSURLProtectionSpace 개체는 서버 또는 서버의 영역(일반적으로 영역(realm)으로 불림)을 나타내며, 인증이 필요합니다.
보호 공간에 대해 인증이 필요한 URL 연결을 설정하는 경우 NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) 메서드는 인증을 수행해야 하는 NSURLConnectionDelegate.connection(_:didReceive:) 메서드를 호출하기 바로 전에 호출됩니다. 이렇게 하면 보호 공간에 대한 인증을 시도하기 전에 NSURLConnectionDelegate가 보호 공간을 검사할 수 있습니다. true를 반환함으로써 대리자는 인증 형식을 처리할 수 있음을 나타냅니다(인증 형식 처리는 connection(_:didReceive:)에 대한 후속 호출을 통해 처리됨). 해당 대리자가 이 메서드를 구현하지 않고 보호 공간이 클라이언트 인증서 인증 또는 서버 신뢰 인증을 사용하는 경우 시스템은 사용자의 키 집합을 사용하여 인증하려고 시도하는데, 이것은 원하는 동작이 아닐 수 있습니다.
References
[1] connection(_:canAuthenticateAgainstProtectionSpace:) API documentation Apple
[2] URLProtectionSpace API documentation Apple
[3] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[4] Standards Mapping - OWASP API 2023 API2 Broken Authentication
[5] Standards Mapping - OWASP Mobile 2024 M3 Insecure Authentication/Authorization
[6] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-1
desc.structural.objc.authentication_bad_practice_missing_check_against_protection_space
Abstract
NSURLConnection 대리자는 응용 프로그램이 특정 보호 공간에 대한 인증 챌린지를 처리하는 방법을 알고 있는지를 먼저 확인하지 않고 인증 챌린지를 처리합니다.
Explanation
NSURLProtectionSpace 개체는 서버 또는 서버의 영역(일반적으로 영역(realm)으로 불림)을 나타내며, 인증이 필요합니다.
보호 공간에 대해 인증이 필요한 URL 연결을 설정하는 경우 NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) 메서드는 인증을 수행해야 하는 NSURLConnectionDelegate.connection(_:didReceive:) 메서드를 호출하기 바로 전에 호출됩니다. 이렇게 하면 보호 공간에 대한 인증을 시도하기 전에 NSURLConnectionDelegate가 보호 공간을 검사할 수 있습니다. true를 반환함으로써 대리자는 인증 형식을 처리할 수 있음을 나타냅니다(인증 형식 처리는 connection(_:didReceive:)에 대한 후속 호출을 통해 처리됨). 해당 대리자가 이 메서드를 구현하지 않고 보호 공간이 클라이언트 인증서 인증 또는 서버 신뢰 인증을 사용하는 경우 시스템은 사용자의 키 집합을 사용하여 인증하려고 시도하는데, 이것은 원하는 동작이 아닐 수 있습니다.
References
[1] connection(_:canAuthenticateAgainstProtectionSpace:) API documentation Apple
[2] URLProtectionSpace API documentation Apple
[3] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[4] Standards Mapping - OWASP API 2023 API2 Broken Authentication
[5] Standards Mapping - OWASP Mobile 2024 M3 Insecure Authentication/Authorization
[6] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-1
desc.structural.swift.authentication_bad_practice_missing_check_against_protection_space