V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Iceux
V2EX  ›  API

app 中 api 如何安全的使用 https

  •  
  •   Iceux · 2015-07-10 10:37:38 +08:00 · 2944 次点击
    这是一个创建于 3418 天前的主题,其中的信息可能已经有所发展或是发生改变。

    app中所有api都走https, https 检出证书采用只信任CA机构颁发的证书。

    但是如果攻击者将自己生成的CA证书添加到设备的信任列表里,那么好像https就不安全了吧
    类似于Fiddler这种抓包工具。

    不知有什么好的解决办法

    8 条回复    2015-07-10 12:00:38 +08:00
    learnshare
        1
    learnshare  
       2015-07-10 10:38:54 +08:00
    12306 不就自己签发了证书么
    Iceux
        2
    Iceux  
    OP
       2015-07-10 10:40:11 +08:00
    @learnshare 你是说自己签发证书,app中只信任自己的证书?
    clino
        3
    clino  
       2015-07-10 10:56:09 +08:00
    楼主是在问如何防止"攻击者将自己生成的CA证书添加到设备的信任列表里"?
    9hills
        4
    9hills  
       2015-07-10 11:12:08 +08:00
    把你的HTTPS证书的fingerprint 写死到code里。
    dorentus
        5
    dorentus  
       2015-07-10 11:13:37 +08:00
    search “ssl cert pinning”
    sobigfish
        6
    sobigfish  
       2015-07-10 11:38:06 +08:00
    可以直接验证证书的指纹,但证书过期前你得保证用户会升级你的app
    hjc4869
        8
    hjc4869  
       2015-07-10 12:00:38 +08:00 via iPhone
    cert pinning
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2624 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:54 · PVG 11:54 · LAX 19:54 · JFK 22:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.