Jac*_*ies 3 networking security domain-name-system ssl https
我正在制作一个 iPhone 应用程序,它将通过 HTTPS 与我的服务器进行通信。编程到应用程序中的重要身份验证信息(用于访问应用程序特定内容)将发送到服务器。如果有人创建了一个安装在他们设备上的伪造 SSL 证书(该证书看起来像是来自我的网站)并将我的域名指向他们计算机的 IP 地址,他们是否有可能捕获身份验证信息和任何其他信息最初发送到服务器?谢谢你的帮助。
这个问题可能会更好地询问 IT 安全性(尽管您必须提供更多有关预测攻击向量的信息)。
一般来说,如果有人伪造 (a) 您主机的 IP,以及 (b) 您的应用程序认为可接受的证书 - 是的。他们可以捕获通过该连接发送的任何内容。
这就是为什么不应在应用程序中对敏感的身份验证信息进行编码的部分原因。
另一部分是你应该记住你的用户将这个应用程序下载到他们的 PC 上以安装在他们的 iPhone 上(iTunes 商店的魔力),他们可以针对它运行一个反编译器并开始挑选有趣的字符串。
用户的机器是一个恶劣的环境。不要把任何敏感的东西托付给他们。