¿Cómo simular un entorno para probar si la asignación de SSL funciona bien en una aplicación de Android?

Navega tus respuestas
1

Estoy usando este complemento de Cordova para implementar el establecimiento de PIN en una aplicación de Android.

No sé cómo simular el entorno para probar si funciona bien.

El equipo de infosec en mi empresa me está diciendo que si la conexión es un proxy (no hay otra cosa que ataque), entonces la aplicación obtendrá otro certificado del servidor proxy y la aplicación debería alertar sobre esto.

Pero el complemento anterior me dice que la conexión es segura incluso en conexiones proxy.

    
pregunta Lakshay 03.01.2017 - 07:18
fuente

2 respuestas

1

El equipo de infosec probablemente significó usar un proxy interceptor como ZAP o Burp . Un proxy normal pasa la conexión SSL a través del certificado original. Con un proxy de intercepción, su navegador configura una conexión al proxy, que tiene un certificado diferente.

    
respondido por el Sjoerd 03.01.2017 - 09:18
fuente
1

Cordova no admite la asignación de SSL - enlace . Es posible que el complemento que está utilizando le proporcione una característica de fijación de SSL aproximada. Sin embargo, desde un punto de vista de seguridad, creo que una asignación de SSL aproximada o falsa es tan buena como no tener una fijación de SSL. Si realmente necesita tener PINs en su aplicación, considere desarrollar su aplicación de forma nativa.

    
respondido por el Mystic 06.02.2018 - 00:31
fuente

Lea otras preguntas en las etiquetas

inicio de sesión en Google 2 factores de autenticación sms: ¿falso o real? Compare enfoques para hacer coincidir una clave privada y un certificado