Android 添加Fabric crashlytics后的证书固定问题_Android_Ios_Crashlytics_Google Fabric

Android 添加Fabric crashlytics后的证书固定问题

android ios

Android 添加Fabric crashlytics后的证书固定问题,android,ios,crashlytics,google-fabric,Android,Ios,Crashlytics,Google Fabric,我在android和iOS应用程序中使用fabric crashlytics。我根据文档整合了面料，一切都很好。我可以在仪表板上看到crashlytics和其他数据问题是我使用（免费试用）进行了渗透测试，结果表明存在问题，问题是证书固定问题。现在，为了确认这是否是由于fabric/crashlytics造成的，我从项目中删除了fabric和crashlytics，并再次运行渗透测试。这次我看不出有什么问题所以我的问题是，应用程序和结构服务器之间的数据是如何传递的，以及如何解决这个问题我只使

我在android和iOS应用程序中使用fabric crashlytics。我根据文档整合了面料，一切都很好。我可以在仪表板上看到crashlytics和其他数据

问题是我使用（免费试用）进行了渗透测试，结果表明存在问题，问题是证书固定问题。现在，为了确认这是否是由于fabric/crashlytics造成的，我从项目中删除了fabric和crashlytics，并再次运行渗透测试。这次我看不出有什么问题
所以我的问题是，应用程序和结构服务器之间的数据是如何传递的，以及如何解决这个问题

我只使用.apk文件进行了测试。.ipa文件也一样吗？
在SSL代理工具（如）的帮助下，可以从
crashlytics.com
以纯JSON格式查看多个端点的请求和响应。e、 g

数据通过HTTPS传递，但未应用证书固定。对于
.ipa
文件，它将是相同的

我个人认为这不是一个严重的问题。请避免将敏感数据发送到crashlytics日志。
Todd从Fabric发送到此处。开箱即用，所有Crashlytics数据都通过SSL传输。通过SSL固定，Crashlytics大大降低了由于证书盗窃或复杂的中间人攻击而导致安全漏洞的可能性。如果您仍在研究此问题，是否可以提供完整的输出？谢谢！：）我们使用了完全相同的IBM自动化审计工具，并遇到了类似的问题…——Todd Burner你还在调查这件事吗？所以我直接联系了Fabric，得到了一个回复，再次跟进，但从那以后一直是蟋蟀叽叽喳喳……甚至没有一个声明说我们不会为此烦恼。我应该改变上述声明的语气，我不是在指责Fabric需要时间。让我的组织了解情况是我的责任，当我没有直接参与调查和制定解决方案时，这会有点问题。