我正在制作一个iPhone应用程序,它将通过HTTPS与我的服务器通信。 编入应用程序(用于访问应用程序特定内容)的重要authentication信息将被发送到服务器。 如果有人在他们的设备上安装了伪造的SSL证书(证书看起来像来自我的网站),并将我的域名指向他们计算机的IP地址,那么他们是否有可能获取身份validation信息和任何其他信息最初是发送到服务器? 谢谢你的帮助。
这个问题可能会更好地被问及IT安全性(尽pipe如此,您将不得不提供关于预测的攻击媒介的更多信息)。
一般而言,如果有人伪造(a)您的主机的IP,和(b)您的应用程序认定可接受的证书 – 是的。 他们可以捕获通过该连接发送的任何内容
这是为什么你不应该在你的应用程序中编码敏感authentication信息的一部分 。
另一部分是,你应该记住你的用户将下载这个应用程序到他们的电脑安装在他们的iPhone(iTunes商店的魔力),他们可以运行一个反编译器,并开始挑选通过寻找有趣的string。
用户的机器是恶劣的环境。 不要相信任何敏感的东西。