certificate_pinning

"Certificate Pinning" — 反制 MITM (man in the middle) 的標準作法
2. 寫 Mobile App 時我常用 mitmproxy[1] 這個工具觀察 HTTPS 通訊。逆向工程別人 app 時也用,但若別人有做 Certificate Pinning 就無效了[2]。
3. Web App 的 Certificate Pinning 一部分可用 HPKP[3] 解。但因為是 "Trust On First Use" 第一次連線時還是可能受制於中間人攻擊,使回傳的白名單被竄改。
所以若 web app 是透過 Chrome store 安裝,可假設程式碼不會被竄改,想更進一步做 Certificate Pinning 時需要別的解法。

[1]: MITM Proxy 觀察 HTTPS 通訊工具 https://mitmproxy.org/index.html
[2]: Android HTTPS Certificate Pinning 範例程式 https://github.com/ikust/hello-pinnedcerts
[3]: Browser HPKP 安全機制 http://blog.rlove.org/2015/01/public-key-pinning-hpkp.html

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License