问题标签 [public-key-pinning]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
flutter - 如何在颤振/飞镖中进行 SSL 公钥固定?
Flutter 在这里相对较新(和一般编程)。只熟悉更基本的东西,但我现在遇到了在flutter/dart中使用CertificatePinner的需要: https ://square.github.io/okhttp/3.x/okhttp/okhttp3/CertificatePinner.html (我已经在我之前在 android studio 的 kotlin/java 项目中成功实现了这一点)。我的目标是固定公钥(不是证书)
我所拥有的只是字符串形式的公钥,如下所示,仅此而已:
"sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA="
我该如何实现这一目标?我已经在 github 上的一个未解决问题中提出了这个问题,但还没有得到任何回复(https://github.com/dart-lang/sdk/issues/35981)。希望有人能够做到这一点。
我还搜索了其他来源。我认为最接近我的解决方案是如何在 Flutter 中进行公钥固定? 但我不太了解那里正在做什么,由于我还没有足够的声誉,因此我无法评论那里提出问题。
作为比较,我想要做的就是在flutter/dart中实现与我在java/kotlin中可以通过这几行代码相同的事情:
谢谢你的帮助
ios - 如何在 Ionic 3 中的 iOS 中实现 SSL 密钥固定?
我对iOS课程没有太多了解。我正在构建一个需要 SSL 固定的 iOS 应用程序(Ionic 3)。大部分 google 的例子都是基于 swift 的。我可以知道这些步骤,或者有人可以提供一些有关 iOS SSL 固定的链接吗?
PS:我的服务器中已经有证书。此外,我已经使用 Android 的网络安全配置完成了 SSL 固定。参考https://developer.android.com/training/articles/security-config。它工作正常。
提前致谢。
android - android中websockets的证书固定
我们在我的一个 Android 应用程序中使用 websockets。使用第 3 方库“ https://github.com/TakahikoKawasaki/nv-websocket-client ”。
现在我们想为 websocket 启用 ssl pinning。我们应该怎么做?
谢谢
ios - 如何使用公钥固定而不是证书固定
我一直在使用证书固定。但现在的要求是更改为公钥固定。我从别人那里拿了这个项目。我可以使用Trustkit实现公钥固定。但是如果我要使用 TrustKit,我必须更改很多实现。我添加了证书固定的代码。
我想使用 .pinPublicKeys 而不是 .pinCertificates。但是在这个实现中,我必须将证书添加到构建中,这是我试图避免的。我只想使用公钥哈希。对于 .pinPublicKey,我必须添加 [secKey]。我找不到将公共哈希密钥转换为 SecKey 的解决方案。请帮助解决这个问题。
}
apache - 如何正确设置 HPKP 标头(Public-Key-Pinning Header)?
我对标头 Public-Key-Pinning 感到非常困惑。如何在 Apache 中添加它?
我做了什么:
分别从我的域证书、中间证书和根证书中获取公钥哈希,并将其添加到 apache,启用了 mod_headers。但 ssllabs 说“没有链。检查备份引脚”
react-native - ssl pinning 与 react native 和 ios
我想在我的项目中实现 ssl pinning(固定公钥)。为此,我使用 react-native-ssl-pinning。
我按照说明进行安装,它适用于 android。
但是,在 iOS 上,我总是收到“已取消”错误。从 xcode 运行时,我收到此错误:
HTTP 加载失败,0/0 字节(错误代码:-999 [1:89])
证书似乎有问题,但我无法识别它。
根据苹果的文档,证书必须:
- 具有大于或等于 2048 位的密钥大小
- 使用 SHA-2 系列算法
- 在主题备用名称扩展中显示服务器的 DNS 名称
- 包含一个包含 id-kp-serverAuth OID 的 ExtendedKeyUsage (EKU) 扩展
- 有效期为 825 天或更短(在证书的 NotBefore 和 NotAfter 字段中表示)。
我使用的证书似乎是有效的,我决定在这里询问是否有人有一个可行的解决方案,或者在我自己搜索不成功后至少有一个提示。
android - 有没有办法在 android 应用程序中抵消 frida 工具包?
在应用程序中,我使用本机网络安全配置进行公钥固定。
使用 frida 工具包,我们的安全团队可以绕过固定。
问题很简单:有什么方法可以防止这种情况发生吗?
android - android 应用程序中的 SSL 固定是否会影响使用同一服务器的 iOS 应用程序的工作?
我正在我的 android 应用程序上实现 SSL 公钥固定。在 android 应用程序上实施并在服务器上添加 Expect-CT 标头后,它会影响我未实施 SSL 固定的 iOS 应用程序吗?
android - SSLPinning 不适用于带有 OKHTTTP 的 android <= 23
1-我们能够在 API <=23 的 burp 套件工具中拦截请求/响应。2-当我将不正确的 sha-256 pin 传递给证书 pinner 时,它会抛出异常 com.android.volley.NoConnectionError: javax.net.ssl.SSLPeerUnverifiedException: Certificate pinning failure!3-当我通过正确的引脚时,它的工作请求会成功。4-我们没有在网络安全配置中设置静态 PIN sha256。我们正在为所有版本进行编程。请检查我缺少什么。
使用'com.squareup.okhttp3',名称:'okhttp',版本:'3.11.0,网络安全配置为