問題タブ [android-network-security-config]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
46 問題
0
投票する
1
に答える
148
参照
android - Android - `network_security_config.xml` にプレーン テキストで証明書ハッシュを保存しても安全ですか?
でハッシュをプレーンテキストとして指定した場合、アプリをリバース エンジニアリングし、ピン留めされている証明書を確認するのは簡単network_security_config.xmlですか? 私は、そのような定数をアプリに格納する必要があるという意見に出くわしました。たとえば、攻撃者がアプリで何が起こっているのか、なぜ通信したくないのかを推測するのを難しくするために、バイトの配列として保存する必要があります。彼のサーバー。そのバイト配列は、難読化されたコードのどこかで適切な文字列に変換される可能性があります。もちろん攻撃を防げるわけではありませんが、少し難しくなります。Android で証明書のピン留めを実装する際のベスト プラクティスと見なすことができるものは何ですか?