在我的应用程序的工作流程中,有一些“重新配置”消息我希望用户无法看到。客户端可以在使用SSL发送数据之前查看数据吗?
我打算使用SSL保护那些传输过程中的邮件,但我不确定客户端在加密之前是否可以看到它们。
在我的应用程序的工作流程中,有一些“重新配置”消息我希望用户无法看到。客户端可以在使用SSL发送数据之前查看数据吗?
我打算使用SSL保护那些传输过程中的邮件,但我不确定客户端在加密之前是否可以看到它们。
您的应用程序正在用户有权访问的计算机上运行。因此,用户可以操纵应用程序和应用程序内存,并提取您实施的所有“秘密”内容。
SSL连接也是如此。通过简单地将中间人攻击代理添加到网络路径中,用户将能够看到传输的所有内容。或者,在通过SSL/TLS发送它们之前,用户可以从应用程序内存中获取未加密的数据。
结论:不要依赖需要在客户端保密的数据。如果是秘密数据,只能在服务器端进行处理。
你的意思是你不希望用户看到他们在你的应用程序的内存中,如果他倾倒内存? “重新配置消息”是指你的自定义消息还是SSL协议消息? –
@EvgenyS。定制JSON消息 – yzT
通过内存研究和破解工具,可以检查应用程序使用的内存中的任何内容。只有当内存中没有准备好的消息时,使用某种模糊处理才能使此过程更加复杂,但是您可以逐个部分地对内存进行简化,加密和销毁。但即使在这种情况下,也可以重建数据流。 –