证书钉扎对Fiddler有效吗？

Question

我们有一个移动应用程序，通过RESTful HTTPS网络服务连接到我们的服务器。我们还有一个攻击者在与我们的服务器通信时正确地模仿了我们的应用程序。因此，我们假设攻击者能够使用费德勒这样的工具观察和解密应用程序的通信量。

据我所知，Fiddler在中间插入一个证书并充当代理。Fiddler能够向攻击者提供数据流的解密版本。

证书钉扎是否应该删除攻击者观察HTTPS通信量的能力？有了我们的移动应用程序在野外，我必须假设应用程序可以安装在一个根/监狱打破设备。

Answer 1

根据这个答案，证书钉扎可以绕过根型安卓设备或越狱的iOS设备。

我将继续声明，我认为您通过添加客户端安全性来试图保护您的应用程序的方法注定会失败。虽然您可以提高通过混淆和其他技巧检查应用程序的标准，但由于没有物理安全性，所以无法保护客户端的安全。

您需要使您的API足够强大，以抵御来自任何客户端的攻击。唯一的选择是保持对客户端的物理控制，以确保他们的安全(在移动应用程序中相当尴尬)。