Sono un principiante in WASA. Volevo solo sapere se "pinning del certificato" può evitare la richiesta / risposta di essere catturato da proxy come burp / violinista? Se così non fosse, allora se voglio che la mia richiesta e la mia risposta non vengano rilevate dai proxy, allora cosa dovrei fare?
Grazie in anticipo.
Se la CA utilizzata da burp / fiddler per intercettare le connessioni HTTPS è stata esplicitamente aggiunta al browser / sistema operativo come attendibile, la protezione di blocco verrà disabilitata dai browser correnti per consentire l'intercettazione SSL legale (ci si fida della CA proxy).
Se non hai installato la CA proxy come affidabile, probabilmente non avrai nemmeno bisogno di bloccare per rilevare il MITM. Tuttavia, il pinning è utile se qualcuno è riuscito a ottenere una CA accettata pubblicamente per firmare i propri certificati (ad esempio ha violato una CA o un uso improprio delle CA intermedie).
Perché non vuoi che le tue richieste e risposte vengano catturate da un proxy di intercettazione? Il blocco dei certificati lo renderà un po 'più difficile, ma alla fine l'agente utente (il browser) è sotto il controllo dell'utente. Se vogliono davvero vedere il traffico, possono semplicemente usare un agente utente che non supporta il blocco dei certificati. Non puoi fare affidamento sulla segretezza assoluta per la sicurezza dei tuoi servizi o per proteggere la tua proprietà intellettuale.