IINA播放器历史记录模块的安全编码升级实践

在macOS应用开发中，随着系统版本的迭代，苹果会逐步淘汰一些不够安全的API。最近在IINA播放器项目中，我们发现历史记录模块(HistoryController)使用了两个已被标记为废弃的方法，这引发了关于安全编码实践的讨论。

问题背景

IINA播放器使用HistoryController类来管理用户的播放历史记录。在macOS 10.14及更高版本中，苹果弃用了NSKeyedUnarchiver.unarchiveObject(withFile:)和NSKeyedArchiver.archiveRootObject(_:toFile:)这两个方法，原因是它们不支持安全编码(NSSecureCoding)协议，可能存在对象替换攻击的安全风险。

苹果推荐开发者改用支持安全编码的新API，包括：

• unarchivedObjectOfClass:fromData:error:
• archivedDataWithRootObject:requiringSecureCoding:error:

技术实现方案

为了既消除编译器警告又提高安全性，我们对IINA的历史记录模块进行了以下改进：

1. 实现NSSecureCoding协议： 首先让PlaybackHistory类遵循NSSecureCoding协议，这是安全编码的基础。该协议要求实现两个关键方法：

   • init?(coder:)：用于解码对象
   • encode(with:)：用于编码对象

2. 修改历史记录读写逻辑： 将原先直接使用废弃API的代码替换为新的安全编码方式。新的实现会：

   • 在保存历史记录时，使用archivedData方法生成数据
   • 在读取历史记录时，明确指定期望解码的类类型
   • 添加适当的错误处理机制

3. 数据兼容性考虑： 虽然API发生了变化，但我们保持了数据格式的兼容性，无需进行数据库迁移。新旧版本可以无缝衔接，确保用户历史记录不会丢失。

安全编码的优势

这次升级不仅解决了技术债务，还带来了以下好处：

1. 防止对象替换攻击：安全编码会验证解码对象的类类型，防止恶意构造的数据导致意外对象实例化。

2. 更好的错误处理：新API提供了详细的错误信息，便于调试和问题追踪。

3. 面向未来：遵循苹果最新的安全实践，为后续macOS版本兼容性打下基础。

开发者建议

对于类似的多媒体应用开发，我们建议：

1. 定期检查项目中的废弃API使用情况，特别是在提升最低系统版本要求时。

2. 优先采用安全编码实践，特别是处理用户数据的持久化存储。

3. 在API升级时注意保持数据兼容性，避免影响用户体验。

这次IINA历史记录模块的升级展示了如何平衡技术更新与用户体验，既提高了安全性又保持了功能的连贯性，值得类似项目参考借鉴。