Networking
資訊公開
我正在製作一個 iPhone 應用程序,它將通過 HTTPS 與我的伺服器通信。程式到應用程序中的重要身份驗證資訊(用於訪問特定於應用程序的內容)將被發送到伺服器。如果有人創建了一個安裝在他們設備上的虛假 SSL 證書(該證書看起來像是來自我的網站)並將我的域名指向他們電腦的 IP 地址,他們是否有可能擷取身份驗證資訊和任何其他資訊最初發送到伺服器?謝謝你的幫助。
這個問題可能會更好地詢問 IT 安全性(儘管您必須提供有關預測的攻擊向量的更多資訊)。
一般來說,如果有人偽造 (a) 您的主機的 IP,和 (b) 您的應用程序認為可以接受的證書 - 是的。他們可以擷取通過該連接發送的任何內容。
這就是為什麼您不應該在應用程序中對敏感的身份驗證資訊進行編碼的部分原因。
另一部分是您應該記住,您的使用者將把這個應用程序下載到他們的 PC 上以安裝在他們的 iPhone 上(iTunes 商店的魔力),他們可以對它執行反編譯器並開始挑選有趣的字元串。
使用者的機器是一個敵對的環境。不要相信他們有任何敏感的事情。