私たちのアプリケーションはクライアント/サーバーアーキテクチャを使用しており、Windows 上で実行されています。
ユーザーは、 http (または将来的には https)経由でユーザー/パスワードを使用してクライアントにログインし、権限を取得する必要があります。
以前はhttp プロトコルを使用していたため、クライアントとサーバーの間のコントラクトは、一部のクライアントによってすでに監視されていました。
現在、https (Let's Encrypt を使用) プロトコルを有効にしていますが、それでも、ユーザーが認証プロセスをハッキングするのを回避するという点で信頼できるかどうかはわかりません。
偽のサーバーを使用してプロトコルをハッキングする可能性のある方法を次に示します。
- hostsファイルでIPからホスト(実際のホスト名)へのマッピングを作成します
- 上記のIPを使用し、サーバーと同じ認証APIを提供する偽のhttpサーバーを作成します。
クライアントはcpprestsdkを使用して http 要求を送信します。
Web サーバーは公開されているため、ユーザーは Chrome などのブラウザーを使用して簡単に CA を取得できます。
私の質問は、私の仮定は有効ですか? もしそうなら、今後のバージョンでこれを防ぐために、どうすればさらに変更を加えることができますか.