मेरी समझ के अनुसार, एसएसएल पिनिंग क्लाइंट में सार्वजनिक रूप से बंडल की गई प्रतियों की सार्वजनिक कुंजी या प्रमाणन की तुलना करना है।क्या आईओएस AFNetwork SSL पिनिंग मोड अतिरिक्त सुरक्षा बोनस प्रदान करेगा यदि वैध प्रमाणपत्र
मैंने स्टैक ओवरफ्लो में देखा कि कई डेवलपर्स एएफनेटवर्क पुस्तकालयों द्वारा एसएसएल पिनिंग का उपयोग करते हैं, लेकिन उनमें से अधिकतर इसे स्वयं हस्ताक्षरित प्रमाणपत्र के साथ उपयोग करते हैं।
मैंने सीए से एक वैध प्रमाणपत्र खरीदा है और यह सत्यापित करने के लिए परीक्षण पास कर दिया है कि यह ठीक काम करता है। मेरा मतलब है, मैं निम्नलिखित की स्थापना की और यह
...
_sharedHttpsInstance.securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone];
_sharedHttpsInstance.securityPolicy.allowInvalidCertificates = NO;
...
काम किया क्या मैं सोच रहा हूँ कि अगर AFSSLPinningModePulicKey पर पिन मोड सेट, अपने आवेदन क्या वैध प्रमाण पत्र के अलावा सर्वर के साथ संचार में अधिक सुरक्षित होगा प्रदान की?
बहुत बहुत धन्यवाद।
हाँ, पिन पिन करते हुए नहीं की तुलना में अधिक सुरक्षित है। पर विचार करें: जब DigiNotar का उल्लंघन किया गया था, हमलावर गूगल, हॉटमेल, याहू, आदि के लिए नकली प्रमाण पत्र अनुभवहीन ग्राहकों उन्हें वैध स्वीकार किया, क्योंकि DigiNotar भरोसा दुकान में एक सीए था जारी किए हैं। यदि आप एक आईओएस उदाहरण देखना चाहते हैं, तो देखें कि उसी हमले से इन-ऐप खरीदारी कैसे टूटी हुई थी। रूसी हैकर द्वारा आईओएस के लिए ऐप्पल की "इन-ऐप खरीद" सेवा देखें [http://arstechnica.com/security/2012/07/ios-in-app-purchase-service-hacked/)। ऐप्पल को अपने स्टोर किट ढांचे में पिन करना चाहिए, लेकिन वे भी एक एफ ** राजा अहंकारी या बेवकूफ हैं। – jww