Peut-on publier des journaux de plantage iOS en public?

8

L'une des applications iOS que j'utilise s'est plantée beaucoup plus que d'habitude ces derniers temps, alors je poste à ce sujet sur leur forum. J'ai un tas de journaux de plantage.

Est-il sûr de publier des journaux de plantage iOS dans un lieu public? Y a-t-il des PII en eux?

Je vois beaucoup de hachages en eux. Sont-ils complètement arbitraires / aléatoires, ou contiennent-ils mon adresse matérielle ou quelque chose?

applications ios security crash logs Ken
la source
Si vous y entrez des informations personnelles, le crash peut bien sûr les contenir. Rien n'empêche le programmeur d'accéder aux données du réseau ou de l'appareil à l'intérieur de son programme, vous devez donc avoir accès au code source de l'application pour savoir si un crash particulier aurait des problèmes de confidentialité.
bmike

Réponses:

5

Les journaux de plantage peuvent être publiés en toute sécurité. Il n'y a en eux aucune information permettant de vous identifier. Tous les textes aléatoires que vous voyez sont des adresses des différentes méthodes qui sont symbolisées par Xcode dans les noms de méthode. Cela permet aux développeurs de voir la ligne de code exacte à l'origine du problème.

Sachez également qu'il est plus difficile de symboliser les journaux de plantage qui ont été copiés et collés. Il serait plus utile pour les développeurs d'obtenir vos journaux de plantage dans le fichier .crash d'origine. Il semble que ce ne soit plus le cas, je n'ai eu aucun problème à copier et à coller un journal de plantage et à symboliser à l'aide du dernier Xcode.

Ben Baron
la source
Ce n'est pas correct: les .crashfichiers ne sont que des fichiers texte. Les journaux de plantage copiés et collés peuvent simplement être enregistrés sous forme de .crashfichiers et affichés dans la visionneuse normale. Non pas que cela présente des avantages. Le seul problème potentiel est la perte de formatage lorsque le copier-coller a supprimé un espace excessif.
Konrad Rudolph
Au moins dans mon expérience personnelle, je n'ai jamais pu obtenir de journaux de plantage collés pour symboliser dans Xcode. À moins que quelque chose n'ait changé dans les nouvelles versions de Xcode pour permettre cela, cela ne fonctionnera pas. Lorsque vous essayez de coller le contenu d'un journal des plantages dans un nouveau fichier et de l'enregistrer au format .crash, l'organisateur Xcode l'ignore et il doit être symbolisé à la main via la ligne de commande, ce qui est frustrant.
Ben Baron
1
Je ne sais pas ce que vous avez fait (mal) mais les .crashfichiers ne sont que des fichiers texte. Vous pouvez facilement le vérifier.
Konrad Rudolph
J'ai fait un autre test avec le dernier Xcode et il symbolisait un journal des plantages copié / collé. Donc, cela ne semble plus être un problème, mais à l'époque où j'utilisais Xcode 3, je jure que j'ai eu des problèmes avec n'importe quel journal de copie / collage. Je ne sais pas quel était le problème, mais ils n'ont pas fonctionné pour une raison quelconque.
Ben Baron
Il ne sert à rien de publier un rapport de plantage non symbolisé. Répondre qu'il est sûr s'il n'est pas symbolisé revient à dire que fumer est sûr si vous n'allumez pas la cigarette imo.
Declan McKenna
2

Non - ce n'est pas universellement ou sans équivoque.

Tout programmeur peut enregistrer clairement des données très personnelles, vous êtes donc à la merci des concepteurs et des programmeurs pour désinfecter et ne pas exposer de données personnelles en cas de crash.

La sécurité par obscurité (les valeurs sont en hexadécimal) est assez bonne et les chances que quelque chose de sensible soit exposé sont très très faibles, mais le partage public d'un rapport d'erreur peut être dangereux pour votre vie privée.

Je dirais de ne rien publier jusqu'à ce que vous compreniez vraiment ce qu'est un GUID de périphérique et comment lire une trace de pile ou des caractères hexadécimaux. Votre risque est également directement affecté par la nature du programme. Tiny Wings ne sait rien parce que je ne lui ai rien dit. Il est également peu probable que j'aie scanné mon carnet d'adresses ou mes coordonnées de localisation / contact.

De l'autre côté, mon programme bancaire doit stocker les codes PIN et les choses que j'entre clairement avant de les crypter. 1Password fonctionne avec des données sensibles comme mon numéro de sécurité sociale. Même si le programme peut éventuellement stocker les données cryptées - un rapport de plantage peut se bloquer au point où les données sont transformées en quelque chose que vous voyez clairement à l'écran - une séquence de chiffres. Fondamentalement, pour un moment éphémère, les données ne sont pas protégées.

La question générale "Est-il sûr de poster?" doit être non sans autres qualifications sur les données stockées dans l'application. Surtout lorsque vous le publiez sur quelque chose d'aussi public et permanent que l'Internet.

bmike
la source
entendre entendre, à moins que vous ne parcouriez vous-même toutes les données exposées et que vous n'ayez donc pas besoin des conseils, vous ne pouvez vraiment avoir aucune garantie.
ConstantineK
Êtes-vous en train de prétendre que des données privées (valeurs d'instance) vont dans Stack Traces? Je sais que le GUID de l'appareil le fait, mais qu'est-ce qui, selon vous, va dans une trace de pile qui est privée?
Jason Salaz
Non - les règles de l'App Store essaient d'empêcher ce genre de chose (code auto-modifiant et tout) - mais rien n'empêche cela si le programmeur veut faire preuve de créativité dans l'encodage des données pour le débogage à distance. C'est très peu probable, mais les données des registres ARM peuvent être privées. Très, très peu probable - peut-être devrais-je modifier ma réponse pour être moins forte? Je ne voudrais pas que mes journaux de plantage agrégés ou CrashReporter Key soient publics. Le rapport de plantage a été intentionnellement conçu pour ne pas partager de données privées, mais les programmes se bloquent lorsqu'ils ne se comportent pas comme prévu.
bmike