移动用户设备唯一标识:Android系统根据IMEI号+MAC地址标识设备(独立用户)的唯一性;iOS系统根据OpenUDID标识设备(用户)的唯一性;WP系统根据ANID标识设备(用户)的唯一性
这里先普及一下隐匿和加密传输的区别,隐匿是对原信息截取部分替换为*,加密则是通过各种算法对原信息全部替换,如原信息为123456,隐匿为12***6,加密则可能替换为Ew9R/etvF
安全要求:用户设备唯一标识属于用户重要隐私数据,如无必要,则严禁获取用户设备唯一标识
如因业务需要必须获取设备唯一标识,如BI大数据平台在用户未登录的情况下,需要根据设备号来统计数据,这种情况在用户安装客户端时需提示用户授权,并且存储必须要加密存储,服务端后台日志也要隐匿打印,加密打印都是不允许的。
其实也可以加密打印,但一定要保证算法是不可逆的,而算法是不是可逆,测试人员仅通过肉眼观察密文是无法判断的,所以要求必须隐匿打印日志。
另外只要涉及到安全问题,bug级别一般来说至少都是严重级别。今天测试就发现了后台日志是加密打印而非隐匿打印的问题。一般普遍认为加密打印比隐匿打印还更可靠,但如果是重要的隐私数据则行不通,这里可能开发也容易混淆,测试时如有类似情况可以关注下。
网友评论