1
我有與iOS推送通知證書相關的安全問題。當我將證書導出爲p12並與Google Cloud Messaging共享時,如果有人獲得了p12文件,那麼存在哪些潛在風險?我想可能有人想惡意破解與p12相關的密碼並獲得推送通知證書的訪問權限,但他們還需要從我的應用生成有效的設備推送令牌,以便將任何「黑客入侵」推送通知發送到我的應用用戶,對嗎?這是唯一的風險,還是有關於我應該關注的p12文件的其他信息?與iOS推送通知證書綁定的安全風險
我意識到蘋果現在提供了另一種使用推送通知鍵的方法,這可能是更好的方法,但現在我只是想了解推送證書可能存在的潛在風險,如果在「錯手「。
那麼,能不能有人再使用私鑰做一次提取? – Jason
泄漏的密鑰允許攻擊者解密任何過去和將來的受保護服務流量,並隨意冒充服務。可以繞過X.509證書中加密和簽名提供的任何保護。從此泄漏中恢復需要修補漏洞,撤銷受損密鑰並重新發布和重新分配新密鑰。 –
只是爲了明確風險服務的範圍將僅限於推送通知服務?有人可能會攔截我們發送通知的請求,並使用該信息劫持請求並查看作爲其一部分的任何數據?他們還可以使用截獲的請求創建自己的推送通知,以代表我們發送?如果所有請求都是通過安全(https)連接發送的,那麼考慮使用證書路由進行推送通知時,所有這些情況發生的風險是否會很小? – Jason