0

認証ピンニング開発を使用する場合、サードパーティは https 証明書で信頼されず、代わりにデバイスに保存されると言っています。Android APK をリバース エンジニアリングすると、この証明書にアクセスできなくなりますか? 私はその公開を認識していますが、それを使用して中間者攻撃を行うことができますよね? 誰もアクセスできないように、証明書をどこに置くべきですか? Android のリソース フォルダーに *.cer 証明書ファイルがありますが、そのファイルの安全性を知る必要があります。

4

1 に答える 1

0

証明書は秘密ではないため、誰かが証明書をリバース エンジニアリングする心配はありません。証明書を固定するには、サーバーの証明書をアプリに埋め込むだけです。次に、実行時にサーバーから証明書が送信されたら、埋め込んだ証明書と比較して、それらが同じであることを確認します。通常の SSL/TLS 検証に加えて、これを行います。

于 2015-12-04T04:25:27.850 に答える