HTTPS を使用する場合、MITM のような攻撃は可能ですか?
接続が HTTP で開始されてから HTTPS にリダイレクトされる場合は可能ですが、最初の接続自体が HTTPS を使用している場合はどうなりますか?
HTTPS を使用してサーバーに接続するクライアントを実装しており、サーバーの信頼性を明示的に判断する必要があるかどうかを確認したい (そうではなく、クライアントを認証するサーバーがそれが誰であるかではなく、クライアントがサーバーはそれが誰であるかです)-簡単に実行できるAPIが利用可能なiOSでこれを行っていますが、それを行う必要があるかどうかはわかりません。必要な場合は、それをテストする方法できます。
ありがとう
MITM SSLは絶対に可能であり、サーバーの証明書を実際にチェックしなくても、多くの場合、非常に簡単です。
悪意のある従業員がワイヤレスルーターを制御している喫茶店で誰かがアプリを使用していると考えてください。サーバーへのHTTPS接続を監視し、ローカルMITMプログラムにリダイレクトできます。そのプログラムは、たとえば自己署名SSL証明書を使用して接続を受け入れ、次に実サーバーへの接続を開き、それらの間のトラフィックをプロキシします。
サーバーの証明書の有効性を確認する限り、この単純な攻撃は阻止されます。そうしてください。:-)
特別な状況下では、証明書を確認してもSSL接続をMITMできる、はるかに複雑な攻撃が実証されていますが、これらの攻撃を機能させる状況は、ほとんどの開発者が心配する必要がないほど難しいものです。彼ら。