Android / iOS 应用内浏览器上的证书固定
Certificate Pinning on Android / iOS in-App Browser
我的公司遵循移动证书固定。我们开始在我们的移动应用程序中添加通过应用程序内浏览器登录(类似于 google、facebook 和其他企业公司)。我与实现此功能的网络团队交谈过,他们从未听说过证书固定,这是移动设备上的常见做法。
我很好奇 chrome / safari 是否会自动验证 pin,或者您是否必须在浏览器中手动执行此操作。
I'm curious if chrome / safari automatically certificate pin, or if it's something you have to do manually in the browser.
Chrome 在 Chrome 72 版本中支持桌面和 Android 版本的 HPKP but its has been removed。
您可以看到支持它的浏览器的完整列表here,现在看起来像这样:
但具有讽刺意味的是,该站点表示已针对桌面删除,但未针对 Android,而且 iOS Safari 似乎从未支持它。
and they'd never heard for certificate pinning, which is a common practice on mobile.
我想提醒您,证书固定可以被绕过,因此您不能将其用作唯一的安全措施。您可以在我写的一篇文章中阅读更多内容,Bypassing Certificate Pinning 了解如何在移动应用程序中绕过证书固定。
In this article you will learn how to repackage a mobile app in order to make it trust custom ssl certificates. This will allow us to bypass certificate pinning.
我的公司遵循移动证书固定。我们开始在我们的移动应用程序中添加通过应用程序内浏览器登录(类似于 google、facebook 和其他企业公司)。我与实现此功能的网络团队交谈过,他们从未听说过证书固定,这是移动设备上的常见做法。
我很好奇 chrome / safari 是否会自动验证 pin,或者您是否必须在浏览器中手动执行此操作。
I'm curious if chrome / safari automatically certificate pin, or if it's something you have to do manually in the browser.
Chrome 在 Chrome 72 版本中支持桌面和 Android 版本的 HPKP but its has been removed。
您可以看到支持它的浏览器的完整列表here,现在看起来像这样:
但具有讽刺意味的是,该站点表示已针对桌面删除,但未针对 Android,而且 iOS Safari 似乎从未支持它。
and they'd never heard for certificate pinning, which is a common practice on mobile.
我想提醒您,证书固定可以被绕过,因此您不能将其用作唯一的安全措施。您可以在我写的一篇文章中阅读更多内容,Bypassing Certificate Pinning 了解如何在移动应用程序中绕过证书固定。
In this article you will learn how to repackage a mobile app in order to make it trust custom ssl certificates. This will allow us to bypass certificate pinning.