Ios 如果客户端使用硬编码url连接到服务器,那么它是否安全?
我有一个客户端(在iOS上),它使用硬编码的https url连接到服务器 建立连接后,服务器可能会指示未来的连接应使用不同的机器名和/或端口。此外,服务器可以指定url位置后缀以从中获取数据 i、 e.以下URL可能在客户端中硬编码: 建立连接后,服务器可以通知它使用machineName2和portX以及url后缀/someLocation/somewhere,因此下次客户端连接时,它将使用url 地址部分或url无法更改 目前,客户端有以下连接身份验证挑战,即它将连接到任何对象:Ios 如果客户端使用硬编码url连接到服务器,那么它是否安全?,ios,https,nsurlconnection,pki,Ios,Https,Nsurlconnection,Pki,我有一个客户端(在iOS上),它使用硬编码的https url连接到服务器 建立连接后,服务器可能会指示未来的连接应使用不同的机器名和/或端口。此外,服务器可以指定url位置后缀以从中获取数据 i、 e.以下URL可能在客户端中硬编码: 建立连接后,服务器可以通知它使用machineName2和portX以及url后缀/someLocation/somewhere,因此下次客户端连接时,它将使用url 地址部分或url无法更改 目前,客户端有以下连接身份验证挑战,即它将连接到任何对象: -
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
SecTrustRef trust = challenge.protectionSpace.serverTrust;
NSURLCredential *cred;
cred = [NSURLCredential credentialForTrust:trust];
[challenge.sender useCredential:cred forAuthenticationChallenge:challenge];
}
目前,这个应用程序没有做任何需要高度安全性的事情——没有访问任何银行信息,用户没有登录任何东西,没有传输任何用户信息。客户端只是将数据从服务器下载到设备上
如果不在客户端添加证书检查,欺骗服务器是否会向设备发送色情内容或其他内容,或者是否建立了https连接且url地址已硬编码足够?提供了数据加密,但您的证书应该由管理员签名。访问硬编码的URL不是一个安全缺陷,这是webservices/API的工作原理。但是,如果没有正确的证书设置,可能会有人冒充您的服务器。仅仅使用SSL/TLS是不够的