有什么可以通过SSL定位来保护我的连接吗？

Question

我的目标是通过代理防止中间人(MITM)的攻击。我已经实现了SSL钉扎，这很有帮助，但我想知道我还能做些什么，这在保护我的连接方面是值得的吗？用户可以做些什么来绕过SSL钉扎？如果攻击者绕过SSL钉扎，我能做些什么来进一步防止MITM攻击吗？

现在，我们关注的是攻击者在应用程序之外的设备浏览器(如Chrome)中穿插并使用代理打开html页面(通过从代理获取其URL )。

Answer 1

现在，我们关注的是攻击者在应用程序外部的设备浏览器(如Chrome)中穿插并使用代理打开html页面(通过从代理获取其URL )。

固定是为了确保客户端连接到正确的服务器。但看起来这不是你真正的问题。相反，您正试图确保预期的客户端连接到服务器。在这种情况下，您显然需要对客户端进行身份验证--客户端只将服务器绑定到客户端。

要在服务器上对客户端进行身份验证，可以使用证书，然后服务器当然需要正确地检查证书。请注意，仍然可以提取证书并在应用程序之外使用它。硬件支持的证书(即智能卡上的证书或类似证书)可能再次阻止这种情况发生。

请注意，所有这些都无助于保护对设备具有完全访问权限的攻击者的操作，也就是说，您不能使用这些操作来阻止设备所有者反向工程并以您无意的方式使用应用程序。

Answer 2

你想要的是很难实现的东西。只需询问大多数大型在线多人游戏关于非官方客户。

如果攻击者能够在他控制的设备上运行客户端，他可以更改客户端的代码，以执行他想做的任何事情。他可以学习您使用的协议，并创建另一个实现该协议的客户端。SSL不会保护您，因为他可以导出任何证书并将其用于其他地方。

正如Steffen所指出的，在某些情况下，将证书存储在密码安全存储(HSM或TrustZone或等效)中是减轻这种攻击的一种方法。如果攻击者可以自行安装客户端，则可以将其安装在模拟安全飞地的模拟设备上，并提取密钥。

在您的具体情况下，这将更加困难，因为攻击者将客户端和服务器都放在他控制的设备上。