SSL/TLS は、悪意のある人物がサーバーであると偽って偽の CA などを送信する MitM 攻撃の場合でも、ユーザーのパスワードを安全に保つのに十分ですか? これは可能ですか?
アプリは Google Play / App Store からダウンロードされるため、公開鍵をバンドルしてパスワードなどの機密データを暗号化し、それらを使用する前にサーバーで復号化すると、別のセキュリティ層が追加されるのではないでしょうか?
このようなベスト プラクティスを説明している優れたホワイト ペーパーまたは類似の推奨事項はありますか?
ありがとうございました!
編集: これが、証明書が最初にサーバーでチェックされるように、CA がブラウザーに証明書をインストールしている理由ですか? それは、上記の私の提案は何の役にも立たず、私たちは安全だと考えられるということですか?