Безопасно ли публиковать журналы сбоев iOS публично?

Одно из приложений для iOS, которое я использую, в последнее время выходит из строя намного чаще, чем обычно, поэтому я публикую об этом на их форуме. У меня есть куча журналов аварий.

Безопасно ли размещать журналы сбоев iOS в публичном месте? Есть ли в них PII?

Я вижу много хешей в них. Они абсолютно произвольны / случайны, или содержат мой аппаратный адрес или что-то в этом роде?

applications ios security crash logs кругозор
источник

Если вы введете в них PII, то, конечно, сбой вполне может содержать это. Ничто не мешает программисту получить доступ к данным сети или устройства внутри своей программы, поэтому вам необходимо иметь доступ к исходному коду приложения, чтобы узнать, не возникнет ли какой-либо конкретный сбой из-за проблем конфиденциальности.

bmike

Ответы:

Журналы сбоев безопасны для публикации в общественных местах. В них нет идентифицирующей информации о вас. Весь случайно выглядящий текст - это адреса различных методов, которые символизируются Xcode в именах методов. Это позволяет разработчикам увидеть точную строку кода, вызвавшую проблему.

Также знайте, что сложнее символизировать журналы сбоев, которые были скопированы и вставлены. Разработчикам было бы более полезно получить ваши журналы сбоев в исходном файле .crash. Похоже, что это больше не так, у меня не было проблем с копированием и вставкой журнала сбоев и символикой с использованием новейшего XCode.

Бен Барон
источник

Это не правильно: .crashфайлы - это просто текстовые файлы. Скопированные и вставленные журналы сбоев можно просто сохранить в виде .crashфайлов и просмотреть в обычном средстве просмотра. Не то чтобы это на самом деле имеет какие-либо преимущества. Единственная потенциальная проблема - потеря форматирования, когда копирование и вставка удаляют лишние пробелы.

Конрад Рудольф

По крайней мере, по моему личному опыту, я никогда не был в состоянии вставить вставленные журналы аварий, чтобы символизировать в Xcode. Если что-то не изменилось в более новых версиях XCode, чтобы позволить это, это не будет работать. Когда вы пытаетесь вставить содержимое журнала сбоев в новый файл и сохранить его как .crash, органайзер XCode игнорирует его, и это должно быть обозначено вручную через командную строку, что разочаровывает.

Бен Барон

Не уверен, что вы сделали (неправильно), но .crashфайлы - это просто текстовые файлы. Вы можете легко проверить это.

Конрад Рудольф

Я провел еще один тест с последним Xcode, и он действительно символизировал копию / вставленный журнал сбоев. Так что, похоже, это больше не проблема, но когда я использовал Xcode 3, я клянусь, у меня были проблемы с любым копированием / вставкой журнала. Не уверен, в чем проблема, но по какой-то причине они не работали.

Бен Барон,

Нет никакого смысла в публикации несимвольного отчета о сбое. Отвечать на вопрос, что это безопасно, если оно не выражено, похоже на то, что курение безопасно, если вы не закуриваете сигарету.

Деклан МакКенна

Нет - это не универсально или однозначно безопасно.

Любой программист может просто сохранять очень личные данные, поэтому дизайнеры и программисты должны выполнять санитарную обработку и не подвергать себя никаким личным данным в случае сбоя.

Защита от неясности (значения указаны в шестнадцатеричном формате) довольно хороша, и вероятность того, что что-то деликатное окажется уязвимым, очень мала, но публичное распространение отчета о сбое может быть опасным для вашей конфиденциальности.

Я бы сказал, не публиковать ничего, пока вы действительно не поймете, что такое GUID устройства и как читать трассировку стека или шестнадцатеричные символы. Также на ваш риск напрямую влияет характер программы. Tiny Wings ничего не знает, потому что я ничего не сказал. Это также вряд ли отсканировал мою адресную книгу или местоположение / контактную информацию.

С другой стороны, моя банковская программа должна хранить ПИН-коды и вещи, которые я ввожу, до того, как они их зашифруют. 1Password работает с конфиденциальными данными, такими как мой номер социального страхования. Даже если программа может в конечном итоге хранить данные в зашифрованном виде - отчет о сбое может произойти сбой в тот момент, когда данные превращаются в то, что вы четко видите на экране - последовательность цифр. В основном, на мгновение, данные не защищены.

Общий вопрос "Безопасно ли размещать сообщения?" не должно быть не без других квалификаций на данные , хранящиеся в приложении. Особенно, когда публикуете его на что-то такое публичное и постоянное, как интернет.

bmike
источник

слышать, слышать, если вы сами не пройдете все раскрытые данные и, следовательно, не нуждаетесь в совете, у вас действительно не будет никаких гарантий.

КонстантинK

Вы утверждаете, что личные данные (значения экземпляров) попадают в трассировку стека? Я знаю, что GUID устройства делает, но что еще вы утверждаете, входит в Stack Trace, который является частным?

Джейсон Салаз

Нет - правила магазина приложений пытаются предотвратить подобные вещи (самоизменяющийся код и все) - но ничто не мешает этому, если программист хочет проявить изобретательность в кодировании данных для удаленной отладки. Это очень маловероятно, но данные в регистрах ARM могут быть конфиденциальными. Очень, очень маловероятно - возможно, мне следует отредактировать свой ответ, чтобы он был менее сильным? Я бы не хотел, чтобы мои агрегированные журналы аварий или CrashReporter Key были публичной записью. Отчет о сбое был специально разработан для того, чтобы не делиться личными данными, а сбой программ, когда они не ведут себя, как запланировано.

bmike