Exposition de la información

Estoy haciendo una aplicación iPhone que se comunicará con mi server a través de HTTPS. La información de authentication importante que se progtwig en la aplicación (para acceder a contenido específico de la aplicación) se enviará al server. Si alguien crea un certificate SSL falso que está instalado en su dispositivo (el certificate parece que es de mi website) y señala mi nombre de dominio a la dirección IP de su computadora, ¿es posible para ellos capturar la información de authentication y cualquier otra información que se envía inicialmente al server? Gracias por tu ayuda.

Esta pregunta probablemente sería mejor preguntar sobre la security de TI (que tendría que dar un poco más de información sobre el vector de ataque pnetworkingicho, sin embargo).

Hablando en general si alguien falsifica (a) el IP de su anfitrión, y (b) un certificate que su aplicación encuentra aceptable – Sí. Pueden capturar cualquier cosa enviada a través de esa connection.

Esto es parte de por qué no debería codificar la información de authentication sensible en su aplicación .
La otra parte es que deberías recordar que tus usuarios estarán descargando esta aplicación en sus PCs para instalar en sus iPhones (la magia de la tienda iTunes), y simplemente pueden ejecutar un decomstackdor contra ella y comenzar a search a través de search cadenas interesantes.


La máquina del usuario es un entorno hostil. No confíes en ellos con nada sensible.