这是一个创建于 651 天前的主题,其中的信息可能已经有所发展或是发生改变。
rt
突然想到,比如 chrome 是把 google 证书写死的。
那么作为客户端( Android ,iOS ,Windows 等)开发的你,是否考虑过把对应后端证书直接写死写进 app 呢?
毕竟这样更容易避免系统层面或者根证书的劫持。
坏处自然是可能的 debug 开销跟证书更换代价。
突然想到,比如 chrome 是把 google 证书写死的。
那么作为客户端( Android ,iOS ,Windows 等)开发的你,是否考虑过把对应后端证书直接写死写进 app 呢?
毕竟这样更容易避免系统层面或者根证书的劫持。
坏处自然是可能的 debug 开销跟证书更换代价。
 |
1
hanyuwei70 2023-02-03 18:16:04 +08:00
pin 证书嘛,游戏类常见……
看你需不需要保护客户端和服务端之间的交互了 另外 Chrome 我记得不是写死吧,是监控 Google 系服务证书必须是 GTS 签发的 |
 |
2
icyalala 2023-02-03 18:16:26 +08:00
SSL Pinning 就是
|
 |
3
hhjswf 2023-02-03 18:24:05 +08:00 via Android
好像为了防抓包是有人这么做的
|
 |
4
dearmymy 2023-02-03 18:35:53 +08:00
双向证书校验可以,大部分没必要。
看你 app 安全度了。这种别人抓包就会逆向找到你证书,照样抓包。 |
 |
5
Aurt 2023-02-03 18:50:34 +08:00
可以,但是没必要,楼上说的很对。
|
Select Language