这是一个创建于 3849 天前的主题,其中的信息可能已经有所发展或是发生改变。
app中所有api都走https, https 检出证书采用只信任CA机构颁发的证书。
但是如果攻击者将自己生成的CA证书添加到设备的信任列表里,那么好像https就不安全了吧
类似于Fiddler这种抓包工具。
不知有什么好的解决办法
 |
1
learnshare 2015 年 7 月 10 日
12306 不就自己签发了证书么
|
 |
2
Iceux OP @learnshare 你是说自己签发证书,app中只信任自己的证书?
|
 |
3
clino 2015 年 7 月 10 日
楼主是在问如何防止"攻击者将自己生成的CA证书添加到设备的信任列表里"?
|
 |
4
9hills 2015 年 7 月 10 日
把你的HTTPS证书的fingerprint 写死到code里。
|
 |
5
dorentus 2015 年 7 月 10 日
search “ssl cert pinning”
|
 |
6
run2 2015 年 7 月 10 日
可以直接验证证书的指纹,但证书过期前你得保证用户会升级你的app
|
 |
7
Septembers 2015 年 7 月 10 日
|
 |
8
hjc4869 2015 年 7 月 10 日 via iPhone
cert pinning
|
Select Language