  |
うちの会社のアプリの通信の一部にはピン留めされた証明書が使われている。
と言ってもサードのサービスとの通信でだ。そのサービスのSDKをアプリに仕込んで、ユーザーの挙動を逐一そのサービスに送って後で解析するのだ。
そしてそのサービスはセキュリティを理由にこの技術を使っている。
これにより中間者攻撃ができないので何を送ってるのかはセキュリティ専門家でも分からない。
だから何でも送り放題だ。うちはパスワードこそ送ってないが、こんなもんまで送って良いんかなというものも送っている。
でも通信を覗けないのでバレない。これ自分がただのユーザーだったら超嫌だなと思う。
23
