<分区>
我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。
关闭 4 年前。
SSL/TLS 是否足以确保我们的用户密码安全,即使在 MitM 攻击的情况下,坏人会伪装成服务器并发送假的 CA 等?这可能吗?
由于该应用程序是从 Google Play/App Store 下载的,我想知道如果我捆绑一个公钥来加密敏感数据(如密码),然后在使用它们之前在服务器上解密它们是否会增加另一层安全性?
您对通过这些最佳实践的任何好的白皮书或类似文件有什么建议吗?
谢谢!
编辑: 这就是 CA 在浏览器中安装证书的原因,以便首先在其服务器上检查证书吗?那是否意味着我上面的建议没有用,我可以认为我们是安全的?
最佳答案
为了回答我自己的问题,这就是客户实现受信任的根证书颁发机构来验证证书的原因。
我的结论是,这绝对不是我需要担心的事情。
关于ios - 防止 MitM (https) 使用包含的 pub 加密查看密码。 iOS/Android 应用程序中的 key ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17707435/