Qualsiasi browser dei giorni nostri fornisce un feedback all'utente finale che conferma se stai utilizzando o meno HTTPS e alcune convalide di base del certificato.
Quando si utilizza un'applicazione mobile, sembra che l'utente finale non abbia modo di verificare se le proprie comunicazioni sono protette o meno. A meno di provare un MiTM usando qualcosa come l'avvelenamento della cache ARP c'è un modo per verificare se un'applicazione mobile sta usando o meno HTTPS?
Se l'app utilizza HTTPS e io inietto un certificato autofirmato usando Fiddler, sembra che il sistema operativo passi e mi avverta. Almeno in questo scenario se l'app utilizza HTTPS e qualcuno tenta un MiTM, sono avvisato. Tuttavia, se l'app utilizza HTTP un MiTM può sedersi tutto il giorno e come utente finale posso solo presupporre che sia sicuro e che il certificato sia OK o che non sia sicuro e speriamo per il meglio ...
Proprio come i permessi delle app, che possono essere verificati dall'utente al momento dell'installazione, potremmo fare con un flag "comunicazioni sicure" che indica che il sistema operativo non consentirà alle comunicazioni non protette di uscire dall'app. Esiste un modo per affermare questo livello di sicurezza all'interno di un'app mobile che non è semplicemente un'affermazione dello sviluppatore ma qualcosa che può essere applicato o provato?