Reino: Security Features
Segurança de software não é o mesmo que software de segurança. Aqui, estamos interessados em tópicos como autenticação, controle de acesso, confidencialidade, criptografia e gestão de privilégios.
Authentication Bad Practice: Ignored Authentication Method
Abstract
Implementar o método de retorno de chamada de representante
NSURLConnectionDelegate.connection(_:willSendRequestFor:) fará com que o sistema ignore os métodos NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) e NSURLConnectionDelegate.connection(_:didReceive:).Explanation
O método do representante
NSURLConnectionDelegate.connection(_:willSendRequestFor:) permite que o representante tome imediatamente uma decisão bem-informada sobre a autenticação de conexão. Se o representante implementar esse método, não será necessário implementar NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) ou NSURLConnectionDelegate.connection(_:didReceive:). Na verdade, esses métodos não são chamados e, portanto, qualquer verificação de segurança neles será ignorada.References
[1] connection(_:willSendRequestFor:) API documentation Apple
[2] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[3] Standards Mapping - OWASP API 2023 API2 Broken Authentication
[4] Standards Mapping - OWASP Mobile 2024 M3 Insecure Authentication/Authorization
[5] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-1
desc.structural.objc.authentication_bad_practice_ignored_authentication_method
Abstract
Implementar o método de retorno de chamada de representante
NSURLConnectionDelegate.connection(_:willSendRequestFor:) fará com que o sistema ignore os métodos NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) e NSURLConnectionDelegate.connection(_:didReceive:).Explanation
O método do representante
NSURLConnectionDelegate.connection(_:willSendRequestFor:) permite que o representante tome imediatamente uma decisão bem-informada sobre a autenticação de conexão. Se o representante implementar esse método, não será necessário implementar NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) ou NSURLConnectionDelegate.connection(_:didReceive:). Na verdade, esses métodos não são chamados e, portanto, qualquer verificação de segurança neles será ignorada.References
[1] connection(_:willSendRequestFor:) API documentation Apple
[2] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[3] Standards Mapping - OWASP API 2023 API2 Broken Authentication
[4] Standards Mapping - OWASP Mobile 2024 M3 Insecure Authentication/Authorization
[5] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-AUTH-1
desc.structural.swift.authentication_bad_practice_ignored_authentication_method