Article poubelle : il parle de "clef de chiffrement", ce qui n'a absolument rien à voir avec du certificate pinning (dans ce cas il s'agit d'un certificat). L'article parle peut-être des clefs d'application, mais vu le rapport information/mots de l'article c'est difficile à dire.
Il faut savoir que le certificate pinning est une bonne pratique, elle réduit considérablement la surface d'attaque des applis vis à vis des attaques contre les CA. Et les clefs d'applications, c'est malheureusement une pratique commune pour protéger les apps contre la création d'applis compatibles (il faut la clef d'application pour pouvoir accéder à certaines parties de l'appli). Dans ces cas le certificate pinning permet de protéger (pendant 10 minutes si on s'y prend mal :p) la clef d'application.
Le résultat c'est que ces applications cesseront de fonctionner avec un proxy SSL. Est-ce une bonne chose ou une mauvaise, je n'ai pas d'avis tranché.
[^] # Re: Interception ssl
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche gateGhost: Traque-moi si tu peux. Évalué à 3.
Article poubelle : il parle de "clef de chiffrement", ce qui n'a absolument rien à voir avec du certificate pinning (dans ce cas il s'agit d'un certificat). L'article parle peut-être des clefs d'application, mais vu le rapport information/mots de l'article c'est difficile à dire.
Il faut savoir que le certificate pinning est une bonne pratique, elle réduit considérablement la surface d'attaque des applis vis à vis des attaques contre les CA. Et les clefs d'applications, c'est malheureusement une pratique commune pour protéger les apps contre la création d'applis compatibles (il faut la clef d'application pour pouvoir accéder à certaines parties de l'appli). Dans ces cas le certificate pinning permet de protéger (pendant 10 minutes si on s'y prend mal :p) la clef d'application.
Le résultat c'est que ces applications cesseront de fonctionner avec un proxy SSL. Est-ce une bonne chose ou une mauvaise, je n'ai pas d'avis tranché.