Hoşgeldin. Soru sormak veya cevaplamak için hemen üye ol.
0 oy
390 kez görüntülendi
ios development kategorisinde tarafından

Merhaba Yasin Bey,

Ios uygulamam içerisinde bir adet webview'ım var ve bunun üzerinden ödeme sayfasına yönlendiriyorum. Normal safariden ödeme sayfası sorunsuz çalışırken webview içerisinde belli bir aşamadan sonra (3d secure şifresi girildikten sonra) bloklanıyor. Öneri olarak info.plist içerisinde App Transport Security Setting altında Allow Arbitrary Load in Web Content parametresinin YES olarak işaretlenmesini istediler.

Bu durum güvenlik açısından bir zaafiyet oluştururmu, bir dez avantajı var mıdır?

1 cevap

+1 oy
tarafından

Aslında oluşturur evet.
Allow Arbitrary Load in Web Content parametresini YES olarak işaretlediğinde, webView'de görüntülediğin sayfalara ait SSL sertifikalarının güvenilirliğini kontrol etememiş oluyorsun.

Default'da self signed veya untrusted sertifikalar içeren sayfalar bu webview framework'leri tarafından güvenlik zaafiyeti oluşturmaması için gösterilmez. Ama bu parametreyi YES yaptığında webView man in the middle attack'larına karşı savunmasız hale gelecektir.

Doğrusu şu olmalı, hangi webView tipini kullanıyorsun bilmiyorum ama (WKwebView veya UIWebView) bu framework'lerin delegate metodları arasında AuthenticationChallenge gibi bir delegate metodu olacak (bilgisayar başında değilim tam adlarına bakamadım) içerisinde sayfa ile alınan SSL sertifikasının geçerliliğini kontrol etmeli ve güvenilir sertifikaları olan sayfalara yüklenmeleri için izin vermelisin.

tarafından

Teşekkür ederim Yasin Bey.

...