{"id":22381,"date":"2016-09-13T09:59:57","date_gmt":"2016-09-13T07:59:57","guid":{"rendered":"http:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/"},"modified":"2016-09-13T09:59:58","modified_gmt":"2016-09-13T07:59:58","slug":"certificate-pinning-e-sicurezza-delle-comunicazioni-mobili","status":"publish","type":"post","link":"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/","title":{"rendered":"Certificate Pinning e sicurezza delle comunicazioni mobili"},"content":{"rendered":"


\n<\/p>\n

\n
\n

Innanzitutto, facciamo un passo indietro. Quando un client si connette ad un server tramite protocollo HTTPS verifica che il certificato HTTPS, fornito dal server, sia valido per il dominio contattato. Per far ci\u00f2 i dispositivi (mobile e desktop) hanno preinstallati una lista di certificati attendibili<\/strong> riconosciuti a livello mondiale. Un certificato, viene ritenuto valido, se fa parte della lista, oppure se \u00e8 stato firmato a sua volta con un certificato attendibile.<\/p>\n

Quando ci si connette ad un sito web le informazioni inviate dal client, e quelle ricevute dal server, sono in chiaro sul PC dell’fruitore e ci\u00f2 \u00e8 palese per uno sviluppatore web. Tuttavia, quando si sviluppa un’applicazione mobile che effettua delle comunicazioni con dei servizi, si \u00e8 portati a pensare, che sfruttando il protocollo HTTPS sia impossibile, o quantomeno molto complicato, intercettare le comunicazioni. <\/p>\n

Utilizzando un software pensato appositamente per il man-in-the-middle<\/em> come ad modello mitmproxy<\/strong>, invece, far ci\u00f2 \u00e8 piuttosto semplice, ma vediamo come.<\/p>\n

Ipotizziamo di voler vedere a quali servizi accede un’applicazione mobile installata sul nostro telefono. Nella configurazione pi\u00f9 semplice ci occorre un telefono ed un PC connessi alla stessa WiFi (senza wireless isolation). Quindi si dovr\u00e0 installare mitmproy sul proprio PC. Una volta avviato, quest’ultimo esporr\u00e0 un proxy, quindi \u00e8 sufficiente cambiare la configurazione di rete del proprio telefono per collegarsi ad internet utilizzando il proxy avviato sul proprio PC sulla rete locale. <\/p>\n

Et voil\u00e0! Ora tutte le connessioni in uscita dal nostro cellulare, su canale HTTP saranno visibili sul nostro PC dalla console di mitmproy. Le connessioni basate sul protocollo HTTPS falliranno in quanto il certificato fornito da mitmproy non sar\u00e0 considerato valido dal nostro telefono. Per ovviare a quest’ultimo inconveniente occorrer\u00e0 aggiungere alla lista di certificati attendibili sul nostro telefono, il certificato self-signed<\/em> generato da mitproxy sul nostro PC. A questo punto tutte le connessioni, anche quelle HTTPS saranno visibili, con tanto di dettaglio per ogni request\/response<\/em> a meno che l’applicazione non implementi il meccanismo del certificate pinning.<\/p>\n

Capite ora perch\u00e9 \u00e8 importante questo meccanismo di sicurezza. Se l’applicazione mobile effettua il certificate pinning non si accontenta che il certificato sia valido, bens\u00ec verifica puntualmente che la parte pubblica (quella fornita dal server in fase di instaurazione della connessione) sia esattamente quella che si aspetta, di fatto non fidandosi con semplicit\u00e0 della lista di certificati installata sul telefono.<\/p>\n

Via Mitmproxy<\/a><\/p>\n


\n
\n
\n\t\t<\/article>\n

\n <\/p>\n
\n

Se vuoi aggiornamenti su Certificate Pinning e sicurezza delle comunicazioni mobili<\/b> inserisci la tua e-mail nel box qui sotto:<\/p>\n<\/div><\/div><\/div>\n


\n
Source link <\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Innanzitutto, facciamo un passo indietro. Quando un client si connette ad un server tramite protocollo HTTPS verifica che il certificato HTTPS, fornito dal server, sia valido per il dominio contattato. Per far ci\u00f2 i dispositivi (mobile e desktop) hanno preinstallati una lista di certificati attendibili riconosciuti a livello mondiale. Un certificato, viene ritenuto valido, se…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_s2mail":""},"categories":[37],"tags":[],"acf":[],"yoast_head":"\nCertificate Pinning e sicurezza delle comunicazioni mobili - Web Agency Italia Web Designer realizzazione siti web Italy<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Certificate Pinning e sicurezza delle comunicazioni mobili - Web Agency Italia Web Designer realizzazione siti web Italy\" \/>\n<meta property=\"og:description\" content=\"Innanzitutto, facciamo un passo indietro. Quando un client si connette ad un server tramite protocollo HTTPS verifica che il certificato HTTPS, fornito dal server, sia valido per il dominio contattato. Per far ci\u00f2 i dispositivi (mobile e desktop) hanno preinstallati una lista di certificati attendibili riconosciuti a livello mondiale. Un certificato, viene ritenuto valido, se...\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/\" \/>\n<meta property=\"og:site_name\" content=\"Web Agency Italia Web Designer realizzazione siti web Italy\" \/>\n<meta property=\"article:published_time\" content=\"2016-09-13T07:59:57+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2016-09-13T07:59:58+00:00\" \/>\n<meta name=\"author\" content=\"admin\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"admin\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"2 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/\",\"url\":\"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/\",\"name\":\"Certificate Pinning e sicurezza delle comunicazioni mobili - Web Agency Italia Web Designer realizzazione siti web Italy\",\"isPartOf\":{\"@id\":\"https:\/\/www.multimediaweb.eu\/web-agency\/#website\"},\"datePublished\":\"2016-09-13T07:59:57+00:00\",\"dateModified\":\"2016-09-13T07:59:58+00:00\",\"author\":{\"@id\":\"https:\/\/www.multimediaweb.eu\/web-agency\/#\/schema\/person\/c0748e23499fac2fd73b79d1379fdf42\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.multimediaweb.eu\/web-agency\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Certificate Pinning e sicurezza delle comunicazioni mobili\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.multimediaweb.eu\/web-agency\/#website\",\"url\":\"https:\/\/www.multimediaweb.eu\/web-agency\/\",\"name\":\"Web Agency Italia Web Designer realizzazione siti web Italy\",\"description\":\"Web design creazione siti web Italia\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.multimediaweb.eu\/web-agency\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.multimediaweb.eu\/web-agency\/#\/schema\/person\/c0748e23499fac2fd73b79d1379fdf42\",\"name\":\"admin\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/www.multimediaweb.eu\/web-agency\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/991cd68bbfd6f946517378a63fc3a1f7?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/991cd68bbfd6f946517378a63fc3a1f7?s=96&d=mm&r=g\",\"caption\":\"admin\"},\"url\":\"https:\/\/www.multimediaweb.eu\/web-agency\/author\/admin\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Certificate Pinning e sicurezza delle comunicazioni mobili - Web Agency Italia Web Designer realizzazione siti web Italy","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/","og_locale":"it_IT","og_type":"article","og_title":"Certificate Pinning e sicurezza delle comunicazioni mobili - Web Agency Italia Web Designer realizzazione siti web Italy","og_description":"Innanzitutto, facciamo un passo indietro. Quando un client si connette ad un server tramite protocollo HTTPS verifica che il certificato HTTPS, fornito dal server, sia valido per il dominio contattato. Per far ci\u00f2 i dispositivi (mobile e desktop) hanno preinstallati una lista di certificati attendibili riconosciuti a livello mondiale. Un certificato, viene ritenuto valido, se...","og_url":"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/","og_site_name":"Web Agency Italia Web Designer realizzazione siti web Italy","article_published_time":"2016-09-13T07:59:57+00:00","article_modified_time":"2016-09-13T07:59:58+00:00","author":"admin","twitter_card":"summary_large_image","twitter_misc":{"Scritto da":"admin","Tempo di lettura stimato":"2 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/","url":"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/","name":"Certificate Pinning e sicurezza delle comunicazioni mobili - Web Agency Italia Web Designer realizzazione siti web Italy","isPartOf":{"@id":"https:\/\/www.multimediaweb.eu\/web-agency\/#website"},"datePublished":"2016-09-13T07:59:57+00:00","dateModified":"2016-09-13T07:59:58+00:00","author":{"@id":"https:\/\/www.multimediaweb.eu\/web-agency\/#\/schema\/person\/c0748e23499fac2fd73b79d1379fdf42"},"breadcrumb":{"@id":"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.multimediaweb.eu\/web-agency\/certificate-pinning-e-sicurezza-delle-comunicazioni-mobili\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.multimediaweb.eu\/web-agency\/"},{"@type":"ListItem","position":2,"name":"Certificate Pinning e sicurezza delle comunicazioni mobili"}]},{"@type":"WebSite","@id":"https:\/\/www.multimediaweb.eu\/web-agency\/#website","url":"https:\/\/www.multimediaweb.eu\/web-agency\/","name":"Web Agency Italia Web Designer realizzazione siti web Italy","description":"Web design creazione siti web Italia","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.multimediaweb.eu\/web-agency\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"it-IT"},{"@type":"Person","@id":"https:\/\/www.multimediaweb.eu\/web-agency\/#\/schema\/person\/c0748e23499fac2fd73b79d1379fdf42","name":"admin","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.multimediaweb.eu\/web-agency\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/991cd68bbfd6f946517378a63fc3a1f7?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/991cd68bbfd6f946517378a63fc3a1f7?s=96&d=mm&r=g","caption":"admin"},"url":"https:\/\/www.multimediaweb.eu\/web-agency\/author\/admin\/"}]}},"_links":{"self":[{"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/posts\/22381"}],"collection":[{"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/comments?post=22381"}],"version-history":[{"count":1,"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/posts\/22381\/revisions"}],"predecessor-version":[{"id":22382,"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/posts\/22381\/revisions\/22382"}],"wp:attachment":[{"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/media?parent=22381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/categories?post=22381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.multimediaweb.eu\/web-agency\/wp-json\/wp\/v2\/tags?post=22381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}