1
我將構建一個跨平臺的應用程序(WP8,IOS,Android),這些應用程序將使用我的服務器發出API請求。如何在中間攻擊中處理來自人的API
我的服務器還會調用不同類型的API(谷歌,臉譜等)並返回一些結果。 應用程序所有者不必登錄即可進行這些調用。
如果中間有人,他可以跟蹤api調用並將其用於他自己的用法,從而減少我對我使用的api服務的配額。
我只希望擁有應用程序的手機能夠打這些電話。 檢測到我的服務器的API調用的最佳方式應該來自我的應用程序?
嗯,你的意思是即使IOS應用程序可以逆向工程和我爲我的加密私鑰可以從我的源代碼被竊取? – 2014-10-27 13:07:33
是的。這些應用程序在上傳到應用程序商店時未經過加密,也不會在下載到最終設備時進行加密。如果Apple將私鑰存儲在某種內部智能卡(如SIM卡)或某些其他內部安全設備上,則iOS在技術上可以使用類似RSA的非對稱加密方法這樣做,但如PS3的關鍵漏洞,極度的知識和對細節的關注是必需的,沒有任何事情像你想象的那樣安全。 – 2014-10-27 19:21:04
越獄iPhone可以繞過智能卡加密,通過使用它來解密應用程序,而無需知道密鑰。這可能是應用程序不是首先被解密的原因。 – 2014-10-27 19:28:41