Я использую Чарльза, чтобы проверить, какие данные отправляются с моего приложения на HTTPS. Я установил сертификат Charles CA на свой телефон, и благодаря этому я могу расшифровать любой SSL-трафик.
Но я нашел приложения, где я не могу увидеть трафик SSL. Как я могу реализовать это поведение в своем собственном приложении? При этом атака «человек посередине» была бы невозможна.
... Я установил сертификат Charles CA на свой телефон, и благодаря этому я могу расшифровать любой SSL-трафик.
Но я нашел приложения, где я не могу увидеть трафик SSL. Как я могу реализовать это поведение в своем собственном приложении? При этом атака «человек посередине» была бы невозможна.
Это можно сделать с помощью закрепления сертификата/открытого ключа, когда вы не проверяете сертификат сервера на соответствие локальным корневым сертификатам, а вместо этого убедитесь, что вы получаете только ожидаемый сертификат. Дополнительные сведения и примеры кода см. в разделе OWASP.
Закрепление сертификата — это то, что вам нужно, но имейте в виду, что это не лишено недостатков и сложностей. Закрепление сертификата усложняет вашу систему, что означает дополнительную работу в день развертывания и еще одну вещь, которая может пойти не так.
Классическая ошибка при закреплении сертификата заключается в том, что бэкенд-команда будет обновлять/изменять/настраивать сертификат сервера при выпуске обновления и забывать, что клиенты используют закрепление сертификата, что в основном остановит всю вашу систему.
Причина, по которой большие мальчики используют его, заключается в том, чтобы замаскировать свой API, чтобы хакерам/личерам было трудно совершать непрошеные вызовы в их серверную часть.
