app 中 api 如何安全的使用 https

2015-07-10 10:37:38 +08:00
 Iceux

app中所有api都走https, https 检出证书采用只信任CA机构颁发的证书。

但是如果攻击者将自己生成的CA证书添加到设备的信任列表里,那么好像https就不安全了吧
类似于Fiddler这种抓包工具。

不知有什么好的解决办法

2816 次点击
所在节点    API
8 条回复
learnshare
2015-07-10 10:38:54 +08:00
12306 不就自己签发了证书么
Iceux
2015-07-10 10:40:11 +08:00
@learnshare 你是说自己签发证书,app中只信任自己的证书?
clino
2015-07-10 10:56:09 +08:00
楼主是在问如何防止"攻击者将自己生成的CA证书添加到设备的信任列表里"?
9hills
2015-07-10 11:12:08 +08:00
把你的HTTPS证书的fingerprint 写死到code里。
dorentus
2015-07-10 11:13:37 +08:00
search “ssl cert pinning”
sobigfish
2015-07-10 11:38:06 +08:00
可以直接验证证书的指纹,但证书过期前你得保证用户会升级你的app
Septembers
2015-07-10 11:57:03 +08:00
see https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning
hjc4869
2015-07-10 12:00:38 +08:00
cert pinning

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/204677

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX