我正在制作一个 iPhone 应用程序,它将通过 HTTPS 与我的服务器通信。编程到应用程序中的重要身份验证信息(用于访问特定于应用程序的内容)将发送到服务器。如果有人创建了一个安装在他们设备上的假 SSL 证书(该证书看起来像是我的网站的证书),并将我的域名指向他们计算机的 IP 地址,他们是否有可能捕获身份验证信息和最初发送到服务器的任何其他信息?感谢您的帮助。
答案1
这个问题可能最好在 IT 安全方面提出(不过你必须提供更多有关预测攻击媒介的信息)。
一般来说,如果有人伪造 (a) 您的主机的 IP 和 (b) 您的应用程序认为可接受的证书 - 是的。他们可以捕获通过该连接发送的任何内容。
这就是为什么你不应该在应用程序中编码敏感的身份验证信息。
另一部分是,您应该记住,您的用户将把这个应用程序下载到他们的电脑上,然后安装在他们的 iPhone 上(iTunes 商店的魔力),他们只需对其运行反编译器,然后开始挑选有趣的字符串。
用户的机器是一个充满敌意的环境。不要把任何敏感信息托付给他们。