Hus*_*syn 6 security ssl https caching ios
我正面临着iOS应用程序的安全相关问题.我使用HTTPS我所有的网络调用和使用的公证书是可信管理机构,其在应用程序,以防止主要在中路进攻捆绑(参考:中间人攻击-维基).我在做SSL钢钉(验证从/服务器的每个网络调用之前的证书)在Android中它工作完全正常,在IOS但是有一个TLS会话缓存哪个缓存第一网络呼叫后证书的有效性.
对于第一次网络呼叫,证书验证部分工作正常,对于第二次呼叫,操作系统使用缓存,我无法验证证书.我的QA团队可以轻松攻击并从网络中获取所有数据,以进行第二次和连续的网络呼叫.这是TLS会话缓存iOS文档的参考.好像没有办法以编程方式清除缓存ref:AdvancedURLConnections.
更改查询参数没有帮助,我已经尝试过了.请提供iOS特定解决方案.出于商业原因,我无法加密我的数据.
编辑: 我正在使用下面提到的方法来验证我的证书.对于第一次网络调用,此方法由OS调用,对于连续调用,此方法未被调用.
willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
我的QA团队只针对每次网络呼叫进行MiTM攻击,他们尝试使用他们的证书,如果对于任何网络呼叫我不验证证书,那么他们可以轻松读取数据.由于缓存我无法验证我的证书.
这个问题的答案是,如果你切换网络,这个方法会被再次调用。身份验证的响应或结果对于会话而言是持久的,并且只要会话有效,连接就是安全的。因此,只需依靠框架的方法并确保您的通信安全:)
| 归档时间: |
|
| 查看次数: |
667 次 |
| 最近记录: |