1
iOSプッシュ通知証明書に関連するセキュリティに関する質問があります。証明書をp12としてエクスポートしてGoogle Cloud Messagingと共有すると、誰かがそのp12ファイルを保持すると、潜在的なリスクはありますか?私はp12に関連するパスワードを壊してプッシュ通知証明書にアクセスする可能性があると思うかもしれませんが、ハッキングされたプッシュ通知を送るにはアプリから生成された有効なデバイスプッシュトークンが必要です私のアプリのユーザー、正しい?これが唯一の危険なのでしょうか?それとも、p12ファイルに関する他の情報がありますか?iOSプッシュ通知証明書にセキュリティリスクが関連付けられています
私は、Appleがプッシュ通知キーを使用する別のアプローチを提供していることを理解しています。これはより良いアプローチかもしれませんが、今のところ私はプッシュ証明書が "間違った手 "。
だから、誰かが、その後一度抽出秘密鍵を使って何ができますか? – Jason
漏洩した秘密鍵により、攻撃者は保護されているサービスへの過去および将来のトラフィックを復号化し、自由にサービスを偽装することができます。 X.509証明書の暗号化および署名によって与えられた保護はバイパスできます。このリークからの復旧には、脆弱性の修正、妥協した鍵の取り消し、新しい鍵の再発行と再配布が必要です。 –
ただ、リスクのあるサービスの範囲がプッシュ通知サービスに限定されることは明らかです。誰かが、通知を送信し、その情報を使用してリクエストをハイジャックし、その情報の一部であるすべてのデータを表示するためのリクエストを潜在的に傍受する可能性がありますか?また、傍受したリクエストを使用して、私たちのために送信する独自のプッシュ通知を作成することもできます。すべてのリクエストが安全な(https)接続を介して送信される場合、プッシュ通知の証明書ルートを使用する際には、これがすべて起こる危険性はごくわずかです。 – Jason