問題タブ [pinning]

変数マネージャー: AFHTTPSessionManager

私はこれをしばらくの間機能させようとしてきました。Swift のドキュメントは不足していますが、obj-c を読むのが上手になってきました。証明書はPEM形式です。私はそれを試し、.der形式に変換しました。Der 形式は init() で爆発し、.PEM 形式は evaluateServerTrust で爆発します。AFNetworking 2.5.1 で試し、3.0.4 にアップグレードしました - 同じ問題です。以下の true と false のすべての組み合わせを試しました。

securityPolicy.validatesDomainName = false securityPolicy.allowInvalidCertificates = false

どんな洞察も大歓迎です。ありがとうございました

enum管理されたレイヤーから管理されていないレイヤーに渡される特定の問題があります-基本的にはenum配列を固定します。

私の使用例は、バッファを含む参照型 (T) の 1D 配列 (enumバイト単位の 2D 配列) を持っていることです。

バッファー (バイト単位の 2D 配列enum) がマネージド ヒープに割り当てられており、そのバッファーをアンマネージド レイヤーに渡して、いくつかの値で埋めたいと考えています。同時に、アンマネージ メソッドがバッファーにデータを入力しているときに、ガベージ コレクター (GC) がバッファーを移動しないようにしたいと考えています。そのためには、バッファを固定する必要があります。私がマネージ コードに使用している言語はC++/CLI,、バッファを固定する 2 つの方法を提供するものです。

• cli::pin_ptr
• GCHandle

何らかの理由で、使用してバッファをピン留めできませんGCHandle- 私が得るArgumentException- はenumblittable でないタイプである可能性があります。

cli::pin_ptrただし、バッファをピン留めすることはできますが、問題cli::pin_ptrは、議論中の参照型の配列 (バッファを含む - バイトに基づく列挙型の 2D 配列) が可変長になる可能性があるため、複数のpin_ptr(の配列pin_ptr)が必要になることです。各参照型インスタンスのピン バッファー。の配列を持つことはできませんcli::pin_ptr。

これにより、.NET アプリケーションで特定の機能を実装することが妨げられています。2D 配列をenum正しく固定できないためです。

caniuse.com によると、iOS Safari 9.2 および 9.3は、ヘッダーを使用したTLS 公開鍵のピン留めをサポートしていませんPublic-Key-Pins。

で公開鍵のピン留めを行うにはどうすればよいWKWebViewですか?

クライアント証明書で認証した後、証明書のピン留めを実行する必要がありますか? 誰かが私にこれを説明できますか？

「clientcertificate request and client authentication」部分の後にreturn文があるため、証明書ピンニングのロジックが実行されることはないので、クライアント証明書による認証を行った後、この部分は廃止されているのではないかと自問自答していました。

だから私は安全な Windows 8.1 Phone アプリを開発しようとしています。これは Windows Phone 用であり、通常の Windows 用ではないことに注意してください。ここでの主な懸念事項は、中間者 (MITM) 攻撃です。

アプリは Microsoft App Studio ( http://appstudio.windows.com/ ) を使用して生成され、Visual Studio 2015 を使用して編集されました。

この MS ブログ投稿 ( https://blogs.msdn.microsoft.com/wsdevsol/2014/06/05/include-self-signed-certificates-with-your- ) の手順を使用して、証明書を通常の Windows セクションに固定できますwindows-runtime-based-windows-phone-8-1-apps/ ですが、問題は、ユーザーがこのアプリからのチェックを上書きする証明書をデバイスにアップロードできることです。

このアプローチの問題点はPackage.appxmanifest、Windows Phone アプリのインターフェイスでは、証明書を「排他的」としてマークするどころか、証明書を更新できないことです。

私の 2 番目の試みは、この投稿に従ってサーバー証明書のフィンガープリントをハードコーディングすることでした: https://blogs.windows.com/buildingapps/2015/10/13/create-more-secure-apps-with-less-effort-10 -by-10/ (「排他的信頼」のチェックボックスに注意してください)

投稿は Windows 10 用ですが、コードは機能しました (適切なインポートを追加した後)。ただし、ここでも、自分の証明書を更新すると、フィンガープリント チェックがバイパスされます。

Visual Studio インターフェイスを使用して電話アプリ パーツに証明書をアップロードできず、[排他的信頼] のボックスをオンにできないため、Web サイトへの要求で証明書のみが使用されるようにするにはどうすればよいでしょうか。アップロードしますか、それとも指紋をハードコードしますか?

フィンガープリントコードは次のとおりです。

証明書のピン留めを使用してモバイルアプリを開発しています。リクエストをプロキシするボックスを DMZ に配置します。このサーバーには信頼できる CA からの証明書が必要ですか、それとも自分の CA から生成したものを使用できますか?

モバイル クライアントから信頼できる CA を使用する利点は何ですか?

また、後で独自の CA 生成証明書を使用するいくつかの異なるサーバーにヒットします。それらも固定する必要がありますか？はい、ネットワーク内でも両方を固定するのが最善であると思います。しかし、必要ですか？

ありがとう！

sub.domain.tld2 か月の有効期限とincludeSubdomainsフラグが存在する HPKP 固定ドメインがあります。

sub2.domain.tldピン留めされていない別の証明書を使用しても機能することに気付きました。

これは、がヘッダーを送信しているドメインに関連しており、 のすべてのサブドメインをカバーしていないということincludeSubdomainsですか?domain.tld

subsub.sub.domain.tldつまり、上記の構成で別の証明書を使用して HPKP 検証に失敗すると仮定しますがsub2.domain.tld、機能します。

これは正しいです？

プロキシを使用して SSL トラフィックを傍受する Web 保護製品は、SSL ピニングを実装しているサイトとどのように連携しますか?

SSL トラフィックを傍受する Web 保護製品の例 - Blue Coat Proxy SG Sophos Gateway McAfee Web Gateway

公開鍵の代わりに指紋を使用して Alamofire で固定する方法を見た人はいますか?

これが回答されている場合は申し訳ありませんが、どこにも見たことがありません。

ありがとう