V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
webugs
V2EX  ›  程序员

APP 和服务端数据传输加密请教

  •  
  •   webugs · 2018-04-07 13:33:49 +08:00 · 5171 次点击
    这是一个创建于 2420 天前的主题,其中的信息可能已经有所发展或是发生改变。

    两种类型吧(都使用了 HTTPS 加密),想咨询下大家,这两种分别是怎么加密保证安全的呢?

    (两种我都是通过中间人抓包的方式抓取的)

    1.第一种抓取的传输数据乱码,看起来像是加密了

    此处输入图片的描述

    2.第二种,抓取不到任何数据,但明明确定有网络传输(是使用了 自签名的方式 实现吗)

    此处输入图片的描述

    因为自己经验不足,但是想对自己的 APP 进行数据加密,所以诚心请教别人是怎么保证接口数据安全的,希望多多指正,探讨交流。

    14 条回复    2018-04-08 09:27:39 +08:00
    orderc
        1
    orderc  
       2018-04-07 13:52:46 +08:00
    数据加密后传输
    webugs
        2
    webugs  
    OP
       2018-04-07 14:00:19 +08:00
    @orderc 是指第一张截图吗?
    老哥知道第二截图是怎么实现数据抓取不到的吗?使用自签名证书?
    orderc
        3
    orderc  
       2018-04-07 14:44:56 +08:00
    理论上走 HTTP 协议都可以抓到,这跟有没有使用自签名证书没关系。
    第二种是直接 TCP 转发的吧,需要用 wireshark 来抓包
    WordTian
        4
    WordTian  
       2018-04-07 14:57:54 +08:00 via Android
    有些 app 很屌的,抓个包难的一匹

    它们会在本地开个代理端口,把 app 的一些重要数据转发到这个端口,然后经过处理或加密后再转发到他的服务器
    des
        5
    des  
       2018-04-07 15:04:35 +08:00 via Android
    第二种是 APP 内置了证书,抓包软件签发的和他内置的不一致,连接中断了而已
    des
        6
    des  
       2018-04-07 15:07:49 +08:00 via Android   ❤️ 1
    @des 不过也可能是自定义协议,为了 qos,用了 443 端口,。数据包不对,连接终止,所以是 no data
    webugs
        7
    webugs  
    OP
       2018-04-07 15:17:44 +08:00 via Android
    @orderc 嗯,我内容说了是走 https 了,不讨论 http
    webugs
        8
    webugs  
    OP
       2018-04-07 15:18:35 +08:00 via Android
    @des 感觉应该是这样
    yukiww233
        9
    yukiww233  
       2018-04-07 18:33:43 +08:00   ❤️ 2
    第一个好像只是因为开了 gzip 吧
    3a3Mp112
        10
    3a3Mp112  
       2018-04-07 18:53:15 +08:00
    其实不用 https 一样是能保证安全的。
    你看微信,全都被你抓出来了,可是能解密吗?
    webugs
        11
    webugs  
    OP
       2018-04-07 20:06:32 +08:00 via Android
    @3a3Mp112 😂😂😂知道啊,但我只是好奇我提问的罢了,现在大概懂了
    hyyou2010
        12
    hyyou2010  
       2018-04-07 20:33:32 +08:00
    使用 https,将证书内置 app 并强制检查,这样就抓不了包了。证书可以外购也可以自定义。
    hyyou2010
        13
    hyyou2010  
       2018-04-07 20:42:04 +08:00
    我上面这个说得不精确哈,精确了说得写一大堆,涉及 CA 信任链等等话题。推荐你看看这两个链接:
    https://developer.android.com/training/articles/security-ssl.html Android 官网的说明
    https://jaq.alibaba.com/community/art/show?articleid=545 阿里云安全的相关说明
    hxndg
        14
    hxndg  
       2018-04-08 09:27:39 +08:00 via Android
    @3a3Mp112
    微信用了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2524 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 15:44 · PVG 23:44 · LAX 07:44 · JFK 10:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.