मुझे अपने आईओएस एप्लिकेशन के लिए सुरक्षा-संबंधी समस्या का सामना करना पड़ रहा है। मैं अपने सभी नेटवर्क कॉल के लिए एचटीटीपीएस का उपयोग कर रहा हूं और इस्तेमाल किया गया सार्वजनिक प्रमाणपत्र विश्वसनीय प्राधिकरण से है जो कि मध्य हमले में मुख्य को रोकने के लिए आवेदन में बंडल किया गया है (रेफरी: Man in the middle attack - Wiki)। मैं एंड्रॉइड में एसएसएल पिनिंग (प्रत्येक नेटवर्क कॉल में सर्वर से प्रमाण पत्र की पुष्टि कर रहा हूं) कर रहा हूं, यह आईओएस में पूरी तरह से ठीक काम करता है, हालांकि एक टीएलएस सत्र कैश है जो पहले नेटवर्क कॉल के बाद सर्टिफिकेट वैधता को कैश करता है।आईओएस नेटवर्क मुद्दा। टीएलएस सत्र कैश लोफोल
पहले नेटवर्क कॉल के लिए प्रमाणपत्र सत्यापन भाग ठीक काम करता है, दूसरे कॉल के लिए, कैश का उपयोग ओएस द्वारा किया जाता है और मैं प्रमाणपत्र को सत्यापित करने में असमर्थ हूं। मेरी क्यूए टीम आसानी से हमला कर सकती है और 2 और लगातार नेटवर्क कॉल के लिए नेटवर्क कॉल से सभी डेटा प्राप्त कर सकती है। यहां TLS Session Cache iOS documentation का संदर्भ दिया गया है। ऐसा लगता है कि कैश प्रोग्रामेटिक रेफरी को साफ़ करने का कोई तरीका नहीं है: AdvancedURLConnections।
क्वेरी पैरामीटर बदलना मदद नहीं करता है, मैंने पहले ही कोशिश की है। कृपया आईओएस विशिष्ट समाधान प्रदान करें। मैं व्यावसायिक कारणों से अपने डेटा की एन्क्रिप्शन नहीं कर सकता।
संपादित करें: मैं अपने प्रमाण पत्र को सत्यापित करने के लिए नीचे उल्लिखित विधि का उपयोग कर रहा हूं। पहले नेटवर्क कॉल के लिए ओएस द्वारा इस विधि को कॉल किया जाता है, लगातार कॉल के लिए इस विधि को नहीं कहा जा रहा है।
willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
मेरे क्यूए टीम बस हर नेटवर्क कॉल के लिए MITM हमले करता है, वे अपने प्रमाण पत्र का उपयोग करने के लिए प्रयास करें और यदि किसी भी नेटवर्क कॉल के लिए मैं प्रमाणपत्र सत्यापित नहीं करते तो वे आसानी से डेटा पढ़ सकते हैं। कैश के कारण मैं अपना प्रमाण पत्र सत्यापित करने में असमर्थ हूं।
मुझे नहीं लगता कि प्रत्येक नेटवर्क कॉल से पहले सर्वर प्रमाण पत्र को सत्यापित करने से पहले सुरक्षा में कुछ भी जोड़ा जाता है, न ही कोई टीएलएस सत्र कैश प्रमाणपत्र को सत्यापित करने से कैसे रोक सकता है * या * समझौता सुरक्षा समझौता। मैं कुछ विवरण देखना चाहता हूं कि आपकी क्यूए टीम ने अपने एमआईटीएम हमले को कैसे बढ़ाया। शायद @ ब्रूनो इन विषयों पर कुछ जोड़ने के लिए है? – EJP
@ हुसिन - ईजेपी की तरह, मैं कैश पर हमले के बारे में कुछ और सुनना चाहता हूं जो मिटएम की ओर जाता है। क्या यह [ट्रिपल हैंडशेक हमला] (http://secure-resumption.com/), या उस पर एक स्पिन है? – jww