Il pinning del certificato protegge da Fiddler?

Naviga le tue risposte
1

Abbiamo un'app mobile che si collega al nostro server tramite i servizi web RESTful HTTPS. Abbiamo anche un utente malintenzionato che emula correttamente la nostra app per comunicare con il nostro server. Pertanto, supponiamo che il nostro aggressore sia in grado di osservare e decrittografare il traffico dell'app utilizzando uno strumento come Fiddler .

A quanto ho capito, Fiddler inserisce un certificato nel mezzo e funge da proxy. Fiddler è in grado di fornire all'utente malintenzionato una versione decrittografata del flusso di dati.

Se blocco dei certificati rimuovi la capacità di un utente malintenzionato di osservare il traffico HTTPS? Con la nostra app mobile in the wild, devo presumere che l'app possa essere installata su un dispositivo rooted / jail-broken.

    
posta Edward Barnard 14.09.2015 - 20:10
fonte

1 risposta

5

Alla questa risposta , il blocco dei certificati può essere ignorato su un dispositivo Android rooted o dispositivo iOS jailbroken.

Continuerò a dire che penso che il tuo approccio per cercare di proteggere la tua applicazione aggiungendo la sicurezza lato client sia destinato a fallire. Mentre puoi aumentare la possibilità di esaminare la tua applicazione tramite l'offuscamento e altri trucchi, poiché non c'è sicurezza fisica, non puoi proteggere il client.

Devi rendere la tua API sufficientemente strong da resistere all'attacco da qualsiasi client. L'unica alternativa è mantenere il controllo fisico sui client per assicurarsi che siano protetti (piuttosto scomodo in un'app mobile).

    
risposta data 14.09.2015 - 20:26
fonte

Leggi altre domande sui tag

Quali garanzie garantisce la perfetta segretezza in avanti rispetto al compromesso di una chiave privata? Differenza tra KMS e PKI