客户端App到服务器端数据，加密？

走HTTPS就好了，服务端和App都是零成本，加几行代码的事情

@cabbala https也照样会被中间人截取的

@ewangke 噗

@ewangke 验证一下证书即可。一般来说具体的 httpclient 的库都有这个功能。

@cabbala
@phuslu
http://mitmproxy.org/
这种东西有作用是因为服务器端没有验证么？

@ewangke 是客户端没有验证.
java/python 的很多 httpclient 的库自带了验证选项的, 使用它既可.

@ewangke http://mitmproxy.org/doc/ssl.html

@phuslu 即使在设备上手动安装了证书，客户端代码验证依然有效么？
@binux 想说什么

@ewangke This CA is used for on-the-fly generation of dummy certificates for SSL interception. Since your browser won't trust the mitmproxy CA out of the box (and rightly so), you will see an SSL cert warning every time you visit a new SSL domain through mitmproxy.

@ewangke 这要看具体 app 使用 httpclient 的方式. 默认的话, 导入证书就能绕过验证.
但是如果 app 很注重安全, 就会自带一个 cert.crl , 只认可这个列表里面的 Root CA 颁发的证书.

@binux 证书可以手动安装啊
@phuslu cert.crl是啥，iOS里没听说过

@ewangke 自己安装一个恶意证书监听自己？ 你还真能想出来。。。

攻击者要是有能给你的设备添加证书的权力，那你用毛加密手段都无效。。。

@cabbala
监听后修改HTTP请求的数据，iOS Game Center里很多高分都是这么来的，同理可以修改自己多人游戏账号的数据。

最近发现V2EX上很多人，尤其是你，火气很大。

如果是python的话 https://github.com/mitsuhiko/itsdangerous

基本思路是客户端和服务端各保存一个私钥 客户端用私钥加密 服务端再用私钥解密

正常情况无需加密直接http，你的app不是那么受欢迎是每人来拿你数据玩的
要做的相对安全点儿就用https，客户端一般是默认要验证的https的
要做得再严密点儿，就用AESCrypt去对称加密，只要客户端代码不被破，那个key不被别人知道就安全。

@notedit 私钥加密 公钥解密