iOS安全系列之二:HTTPS进阶
本人最近工作上遇到并解决了一些HTTPS相关的问题,以此为契机,决定写这篇更深入介绍HTTPS的文章。本文分为以下五节:1、中间人攻击:介绍中间人攻击常见方法,并模拟了一个简单的中间人攻击;2、校验证书的正确姿势:介绍校验证书的一些误区,并讨论了正确校验方式;3、ATS:讨论下 iOS 9.0 新发布的的特性App Transport Security;4、调试SSL/TLS:讨论使用Wireshark进行SSL/TLS调试的方法;5、后记
技术文章精选
低噪声、高可扫读;标题、摘要、来源、标签一目了然。
近 24 小时热文
- 1iOS 保持界面流畅的技巧近 24 小时 30 浏览
- 2使用python/casperjs编写终极爬近 24 小时 29 浏览
- 3豆瓣是啥?近 24 小时 27 浏览
- 4你应该知道的16个Linux服务器监控命令近 24 小时 26 浏览
- 5Postmortem: 关于 xzutil 近 24 小时 24 浏览
- 6apt 的 update 和 upgrade近 24 小时 24 浏览
- 7Linus:利用二级指针删除单向链表近 24 小时 23 浏览
- 8浅析http协议、cookies和sessi近 24 小时 23 浏览
- 9iOS安全系列之二:HTTPS进阶近 24 小时 22 浏览
- 10读书笔记-壹百度:百度十年千倍的29条法则近 24 小时 22 浏览
近 3 天热文
- 1前端编码规范(1)—— 一般规范近 3 天 105 浏览
- 2iOS 保持界面流畅的技巧近 3 天 63 浏览
- 3使用python/casperjs编写终极爬近 3 天 61 浏览
- 4nginx防hashdos模块使用帮助近 3 天 58 浏览
- 5配置Nginx+uwsgi更方便地部署pyt近 3 天 58 浏览
- 6Linus:利用二级指针删除单向链表近 3 天 57 浏览
- 7apt 的 update 和 upgrade近 3 天 55 浏览
- 8你应该知道的16个Linux服务器监控命令近 3 天 53 浏览
- 9百度这个公司近 3 天 52 浏览
- 10【死磕Java并发】—–J.U.C之Java近 3 天 52 浏览
最新文章
采集自各技术站点的近期文章。
iOS安全系列之一:HTTPS
如何打造一个安全的App?这是每一个移动开发者必须面对的问题。在移动App开发领域,开发工程师对于安全方面的考虑普遍比较欠缺,而由于iOS平台的封闭性,遭遇到的安全问题相比于Android来说要少得多,这就导致了许多iOS开发人员对于安全性方面没有太多的深入,但对于一个合格的软件开发者来说,安全知识是必备知识之一。 对于未越狱的iOS设备来说,由于强大的沙箱和授权机制,以及Apple自己掌控的App Store, 基本上杜绝了恶意软件的入侵。但除系统安全之外,我们还是面临很多的安全问题:网络安全、数据安全等,每一项涉及也非常广,安全是非常大的课题,本人并非专业的安全专家,只是从开发者的角度,分析我们常遇到的各项安全问题,并提出通常的解决方法,与各位交流。
Scala的模式匹配
最近开始学习Scala,相较于学习Haskell的过程来看,Scala真是直观得多,友好得多,更容易上手。以前写过关于从熟悉的Java和JavaScript来逐步学习Groovy和Haskell的文章,这以后再来学习Scala的话,就可以不断比较了。
那些我印象深刻的建议和教诲
人的一生,当然有很多的时间去自己摸索和探究,做出自己的选择;其他人的教诲,很多时候并不会干涉选择,反而会让人少走弯路,更快捷抵达自己的目标。下面,我列了自己印象深刻的教诲(或者说“建议”),既是对各位的感谢,也希望通过分享让更多人受益。
Android安全–DexClassLoader动态加载分析
看到原来有把原始的dex文件加密保存,然后解密后使用DexClassLoader加载文件的方法,就来分析下DexClassLoader的加载流程
说说 XcodeGhost 这个事
苹果从来都不赞成第三方 app 自己搞一套生态的原因之一:你没有系统级的权限,本身就在安全性上打了折扣。 但是,你的 apple (icloud) id 及其密码到底面临多大威胁?我认为危险是完全可控的。 首先:在 ios 系统中,icloud 密码是很高优先级的东西,ios 设计人员再傻也知道要重点保护它。所以,如果通过正常的渠道,在 ios 中输入密码,即使是通过被感染的 app ,也是不可能通过程序获取到 icloud 密码的。唯一的手段是模拟一个输入密码的对话框引诱用户输入密码来钓鱼。
nodejs中文md5与php结果不一致
在做一个流量接口的时候发现的这个问题,如果是英文进行md5的时候是没有问题的,而且用中文的时候就会发生node …
[MySQL异常恢复]无主键情况下innodb数据恢复
在mysql的innodb引擎的数据库异常恢复中,一般都要求有主键或者唯一index,其实这个不是必须的,当没有index信息之时,可以在整个表级别的index_id进行恢复。
SQL 新手指南
本文我们浏览了涵盖 CRUD 四个基本的数据库功能:比如:`CREATE TABLE`, `INSERT INTO`, `SELECT`, `UPDATE`, `DELETE` 和 `DROP`。当 SQL 开发人员新手在开始数据库工作、以及使用一门新语言 SQL 时,本文中的基本知识应该能为他们开个好头。
Android安全–检测是否为Android模拟器
有时候需要检测是否在模拟器上运行还是在真机运行,话不多说。检测代码如下....
产品设计之尊重常识
尊重常识就是回归本质,而尊重常识是产品设计理念的起点。交易类网站,尤其是在移动互联网时代,为什么要让用户登录呢?很多产品不理解,觉得我这是在瞎扯。
CSS深入理解vertical-align和line-height的基友关系
本文深入探讨vertical-align和line-height之间的关系,属于中长篇,有很多其他地方看不到的知识点。实例效果就在文章页面上,因此,请使用合适的浏览器查看本文。截图丰富,源代码展示详尽,相信本文的内容会对您的学习有所帮助的。
Android libcutils库中整数溢出导致的堆破坏漏洞的发现与利用
阅读本文之前,您最好理解Android中的Binder机制、用于图形系统的BufferQueue原理、堆管理器je_malloc的基本原理。 此文介绍了如何利用libcutils库中的堆破坏漏洞获得system_server权限,此漏洞是研究Android图形子系统时发现的,对应的CVE号为CVE-2015-1474和CVE-2015-1528。
Android安全–加强版Smali Log注入
有的时候我们需要注入smali调用Log输出,打印字符串的值。 比如说: 如果我们要打印下面v1的值。 new-instance v1, Ljava/lang/String; const-string v7, “this is my string” invoke-direct {v1, v7}, Ljava/lang/String;->
我的npm笔记
本文记录一些npm的使用技巧,主要包括自己常用的命令,做个备忘。 NPM 是什么? NPM是NodeJS的包管理工具,现在已经进一步发展,致力于为很多其他平台提供包管理工具,其核心思想就是让包的安装更简洁,并自动处理依赖的问题。 它的主要功能就是管理node包,包括:安装、卸载、更新、查看、搜索、发布等。
互联网创业的地域鄙视链
今儿从一句政治不那么正确的话聊起,很多投资人都喜欢问互联网创业者一个问题:你们是哪里的团队?如果听说非北上广深杭,那么心里已经给这个团队大大的减了好多分,甚至希望在3min内结束聊天。这个“地图炮”的话题容易掉粉,我们尽量客观的说。
线上PHP问题排查思路与实践
在一淘网,腾讯网媒和微博商业技术联合组织的技术分享大会上,我分享了《在线PHP问题排查思路与实践》。此博文除了对PPT提供下载外,还会对ppt做简单的注释说明。主题分为三部分,常见问题,解决思路和案例分析。
记一次因错误的500页面引发的血案
讲故事,就得先介绍一下背景: 业务上线了某活动页面,但是点击至某固定链接时,页面跳转至首页。 排查过程如下…
细说云计算之外的雾计算与流计算
在技术高度发达的今天,技术百花齐放,很难有一种技术可以解决现实中遇到的所有问题,只能是从某个角度来评判解决问题的可能性。那么对于数据中心,也不是只有云计算,还有雾计算、流计算,将来还可能有水计算、雨计算等等,数据中心结合这些新的技术才能发挥出更大的作用,下面就来说一说最近比较火热的几种计算技术,这些技术如果能够在数据中心里实施开来,必将开启数据中心的新篇章。
“集群和负载均衡”的通俗版解释
在“高并发,海量数据,分布式,NoSql,云计算......”概念满天飞的年代,相信不少朋友都听说过甚至常与人提起“集群,负载均衡”等,但不是所有人都有机会真正接触到这些技术,也不是所有人都真正理解了这些“听起来很牛的”技术名词。下面简单解释一下吧。