007. SSL Pinning для мобильных приложений Яндекса - Ростислав Алиферович
HTML-код
- Опубликовано: 26 окт 2015
- Как обеспечить безопасность соединений приложения с сервером даже в публичных сетях? Рассказ пойдет о реализации известной техники SSL Pinning в виде библиотеки, которую можно и нужно будет встраивать в приложения Яндекса. Вначале поговорим об уязвимостях простого использования HTTPS без использования пиннинга. Затем я расскажу о том, что было реализовано в первой версии библиотеки и об улучшении техники пиннинга во второй версии.
Спасибо! очень крутой материал с хорошей подачей
Спасибо за доклад!
доклад отличный и очень полезный. Но я так и не понял зачем нужны белые и черные списки если речь идеть про мобильные приложения где сертификат или ключ зашит в приложение и пользователя не спрашивают как в браузере?
Так же не совсем понятно про обновление пинов, как это работает в деталях?
"Вы даже можете купить сертификат у какого-нибудь доверенного сертификационного центра и вам даже не нужно будет просить пользователя установить это в систему, по умолчанию система будет вам доверять". Утверждение выглядит несколько сомнительно, тогда бы каждый заинтересованный человек в осуществлении атаки mitm пользовался бы этой возможностью. Или покупка такого сертификата вызывает какие-то организационный/финансовые сложности?