这是一个创建于 3409 天前的主题,其中的信息可能已经有所发展或是发生改变。
app中所有api都走https, https 检出证书采用只信任CA机构颁发的证书。
但是如果攻击者将自己生成的CA证书添加到设备的信任列表里,那么好像https就不安全了吧
类似于Fiddler这种抓包工具。
不知有什么好的解决办法
 |
1
learnshare 2015-07-10 10:38:54 +08:00
12306 不就自己签发了证书么
|
 |
2
Iceux OP @learnshare 你是说自己签发证书,app中只信任自己的证书?
|
 |
3
clino 2015-07-10 10:56:09 +08:00
楼主是在问如何防止"攻击者将自己生成的CA证书添加到设备的信任列表里"?
|
 |
4
9hills 2015-07-10 11:12:08 +08:00
把你的HTTPS证书的fingerprint 写死到code里。
|
 |
5
dorentus 2015-07-10 11:13:37 +08:00
search “ssl cert pinning”
|
 |
6
sobigfish 2015-07-10 11:38:06 +08:00
可以直接验证证书的指纹,但证书过期前你得保证用户会升级你的app
|
 |
7
Septembers 2015-07-10 11:57:03 +08:00
|
 |
8
hjc4869 2015-07-10 12:00:38 +08:00 via iPhone
cert pinning
|
Select Language