app中所有api都走https, https 检出证书采用只信任CA机构颁发的证书。
但是如果攻击者将自己生成的CA证书添加到设备的信任列表里,那么好像https就不安全了吧
类似于Fiddler这种抓包工具。
不知有什么好的解决办法
This topic created in 3986 days ago, the information mentioned may be changed or developed.
 |
1
learnshare Jul 10, 2015
12306 不就自己签发了证书么
|
 |
2
Iceux OP @learnshare 你是说自己签发证书,app中只信任自己的证书?
|
 |
3
clino Jul 10, 2015
楼主是在问如何防止"攻击者将自己生成的CA证书添加到设备的信任列表里"?
|
 |
4
9hills Jul 10, 2015
把你的HTTPS证书的fingerprint 写死到code里。
|
 |
5
dorentus Jul 10, 2015
search “ssl cert pinning”
|
 |
6
run2 Jul 10, 2015
可以直接验证证书的指纹,但证书过期前你得保证用户会升级你的app
|
 |
7
Septembers Jul 10, 2015
|
 |
8
hjc4869 Jul 10, 2015 via iPhone
cert pinning
|
Select Language