这是一个创建于 2753 天前的主题,其中的信息可能已经有所发展或是发生改变。
两种类型吧(都使用了 HTTPS 加密),想咨询下大家,这两种分别是怎么加密保证安全的呢?
(两种我都是通过中间人抓包的方式抓取的)
1.第一种抓取的传输数据乱码,看起来像是加密了
2.第二种,抓取不到任何数据,但明明确定有网络传输(是使用了 自签名的方式 实现吗)
因为自己经验不足,但是想对自己的 APP 进行数据加密,所以诚心请教别人是怎么保证接口数据安全的,希望多多指正,探讨交流。
 | 1 orderc 2018-04-07 13:52:46 +08:00 数据加密后传输 |
| 3 orderc 2018-04-07 14:44:56 +08:00 理论上走 HTTP 协议都可以抓到,这跟有没有使用自签名证书没关系。 第二种是直接 TCP 转发的吧,需要用 wireshark 来抓包 |
 | 4 WordTian 2018-04-07 14:57:54 +08:00 via Android 有些 app 很的,抓个包难的一匹 它们会在本地开个代理端口,把 app 的一些重要数据转发到这个端口,然后经过处理或加密后再转发到他的服务器 |
 | 5 des 2018-04-07 15:04:35 +08:00 via Android 第二种是 APP 内置了证书,抓包软件签发的和他内置的不一致,连接中断了而已 |
| 6 des 2018-04-07 15:07:49 +08:00 via Android  1 @des 不过也可能是自定义协议,为了 qos,用了 443 端口,。数据包不对,连接终止,所以是 no data |
 | 9 yukiww233 2018-04-07 18:33:43 +08:00 2 第一个好像只是因为开了 gzip 吧 |
 | 10 3a3Mp112 2018-04-07 18:53:15 +08:00 其实不用 https 一样是能保证安全的。 你看微信,全都被你抓出来了,可是能解密吗? |
 | 12 hyyou2010 2018-04-07 20:33:32 +08:00 使用 https,将证书内置 app 并强制检查,这样就抓不了包了。证书可以外购也可以自定义。 |
| 13 hyyou2010 2018-04-07 20:42:04 +08:00 我上面这个说得不精确哈,精确了说得写一大堆,涉及 CA 信任链等等话题。推荐你看看这两个链接: https://developer.android.com/training/articles/security-ssl.html Android 官网的说明 https://jaq.alibaba.com/community/art/show?articleid=545 阿里云安全的相关说明 |
Select Language