SSL/TLS 是否足以保证我们的用户密码安全,即使在发生中间人攻击的情况下,坏人会伪装成服务器并发送假 CA 等?这甚至可能吗?
由于该应用程序是从 Google Play / App Store 下载的,我想知道如果我捆绑一个公钥来加密密码等敏感数据,然后在使用它们之前在服务器上解密它们,它是否会增加另一层安全性?
您对通过此类最佳实践的任何好的白皮书或类似文件有任何建议吗?
谢谢!
编辑: 这就是为什么 CA 在浏览器中安装了证书,以便首先在其服务器上检查证书吗?那意味着我上面的建议没有用,我可以认为我们安全吗?