でハッシュをプレーンテキストとして指定した場合、アプリをリバース エンジニアリングし、ピン留めされている証明書を確認するのは簡単network_security_config.xmlですか? 私は、そのような定数をアプリに格納する必要があるという意見に出くわしました。たとえば、攻撃者がアプリで何が起こっているのか、なぜ通信したくないのかを推測するのを難しくするために、バイトの配列として保存する必要があります。彼のサーバー。そのバイト配列は、難読化されたコードのどこかで適切な文字列に変換される可能性があります。もちろん攻撃を防げるわけではありませんが、少し難しくなります。Android で証明書のピン留めを実装する際のベスト プラクティスと見なすことができるものは何ですか?
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config>
<domain includeSubdomains="false">abc.aaa</domain>
<pin-set>
<pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin>
</pin-set>
</domain-config>
</network-security-config>