HTTPS を使用して REST API を使用する場合、クライアント ユーザーが呼び出し内のデータを表示できないようにする方法はありますか?
HTTPS がこれを行うと思っていましたが、Fiddler を実行すると、偽の証明書をインストールして要求コンテンツをピークするオプションが表示されます。
これを確保する方法は?
バルテック
質問する
202 次
1 に答える
2
その「偽の証明書をインストールしてリクエストの内容を覗く」ことを MITM と呼びます。Mitm は、ハッカーが独自の [偽の] 証明書をユーザーに挿入しようとする中間者攻撃であり、ユーザーはハッカーの証明書でデータを暗号化し、ハッカーはデータを復号化し、復号化されたデータを保存し、サーバー証明書で再暗号化して送信します。サーバーなど
MITM を再度保護する唯一の方法は、証明書をチェックし、それが有効な証明書であることを確認することです。クライアントが独自のアプリケーションである場合、アプリケーションは実際の証明書のシリアルを保存する必要があります。
したがって、SSL MITM に対する唯一の防止は、リクエストを送信する前に証明書を保存または検証することです。
于 2013-01-25T18:02:00.837 に答える