Alternative a SSL / TLS per Android e iOS

-2

Quando proteggere un sito Web SSL / TSL è l'unico modo, perché i browser devono supportarlo.

Tuttavia, quando si crea un'applicazione nativa che deve comunicare con un server remoto, questo non sembra essere un requisito, quindi sto cercando alcune buone alternative.

I motivi principali per cui qualcuno potrebbe voler fare questo:

  • Maggiore controllo su certificati / rifiuti
  • Non aver a che fare con CA
  • Rendere più difficile intercettare il traffico localmente

Non è consigliabile creare una crittografia personalizzata, quindi quali sono alcune alternative verificate a SSL per le app Android e iOS?

    
posta Enve 05.02.2017 - 15:45
fonte

1 risposta

4

Usando un certificato autofirmato e applicando l'uso di questo certificato nella tua applicazione (ovvero certificato o blocco pubkey) sei indipendente da qualsiasi CA e hai il pieno controllo sulla durata del certificato. Il traffico è anche resistente contro l'intercettazione SSL dal momento che l'uomo nel mezzo avrebbe bisogno di usare un certificato che accettate, che avrebbe bisogno di avere esattamente il certificato che usate nel vostro server e anche la chiave pubblica. Questo è impossibile a meno che la chiave non sia trapelata o che il server abbia violato (ad esempio colpa tua).

Se utilizzi un certificato autofirmato aggiunto con TLS, beneficerai anche di una tecnologia collaudata che è disponibile sulla maggior parte dei sistemi e per la maggior parte dei linguaggi di programmazione, quindi non è necessario cercare alternative.

Making it harder to intercept traffic locally

Si noti che TLS e tecnologie simili proteggono solo contro l'intercettazione sulla rete. Non protegge dall'intercettazione locale sul dispositivo che può essere eseguita hackerando l'applicazione stessa per intercettare il traffico prima della crittografia. Tale protezione può essere eseguita solo se l'applicazione stessa è protetta da modifiche da parte dell'utente, il che è praticamente impossibile purché l'utente abbia il pieno controllo del dispositivo (cioè può effettuare il root, modificare il software).

    
risposta data 05.02.2017 - 16:32
fonte

Leggi altre domande sui tag