0

我在 iOS 上使用 firebase 制作了我的移动应用程序,并且我使用可调用函数与数据库进行通信。

当我尝试使用像 Charles 这样的简单应用程序执行“中间人”攻击/移动时,我可以看到我所有的呼叫以及我发送的纯文本数据。当我使用像 iTunes 这样的知名应用程序时,我无法解密任何东西(我认为这就是我们所说的 ssl pinning)

我有3个问题:

  • firebase 云功能(https.callable)是否处理​​ ssl pinning?
  • 如果不是,我该如何保护?将节点用于我的功能,是否可以从 firebase 请求 ssl 证书并将其链接到功能?
  • 移动 SDK 请求是否已固定?我在我的嗅探应用程序上看不到任何有关读取调用的信息。

谢谢你们。

4

1 回答 1

1

根据 Doug 的这篇文章进出 Google 的所有数据都是加密的(包括客户端 SDK)。根本没有办法解决这个问题。

现在,您可以更进一步,通过配置App Check来防止滥用,根据文档,它提供了额外的安全层来防止计费欺诈和网络钓鱼。

但是,您仍然需要检查身份验证令牌(通过 onCall 函数自动传递)以确保用户有权执行他们正在调用的函数。

于 2021-09-09T21:53:28.510 回答