0
攻撃者に対して電話帳がどれくらい強くなっていますか?特にXSSの脆弱性は、PhoneGap APIが未知の攻撃者にさらされている私たち自身のページにあります。PhoneGapは安全ですか?
たとえば、PhoneGap.exec()コマンドはiPhoneで安全ですか?
JavaScriptより、PhoneGap.execコマンドは私に心配です。 PhoneGap.exec(successCB, errorCB, "com.phonegap.contacts","search", [{"fields":fields, "findOptions":options}]);(iPhone用のJavaScriptはコピーされましたfrom here) execコマンドは理論的には制限されるべきであり、のみPhoneGap APIクラス(この例ではcom.phonegap.contacts)とメソッド(この例では検索)にアクセスできる必要があります。
私たちのアプリケーションにXSSの脆弱性が存在する場合、攻撃者はブラウザサンドボックスでの実行と比べて攻撃面が拡大しています。エンドユーザーの電話はPhoneGapの脆弱性にさらされ、攻撃者が特権のObjectiveCコード/ apiにアクセスできる可能性があります。 PhoneGapのセキュリティwas thisで見つかった唯一のドキュメントです。
ないのPhoneGap /セキュリティの専門家ではなく、すべてのiOSアプリケーションに関係なく実装する独自のセキュリティサンドボックス内で実行プラットフォーム。これにより、PhoneGap固有のセキュリティホールの露出が制限されるはずです。 http://developer.apple.com/library/ios/#documentation/iphone/conceptual/iphoneosprogrammingguide/RuntimeEnvironment/RuntimeEnvironment.html – Perception
アンドロイドに関連しますが、関連性があります:http://groups.google.com/group/ phonegap-dev/browse_thread/thread/1049124ad37abacb – robocat
Skypeに対するXSS攻撃の例を以下に示します。 http://www.theregister.co.uk/2011/09/20/skype_for_iphone_contact_theft/ – robocat