Я делаю приложение для iPhone, которое будет связываться с моим сервером по HTTPS. Важная информация для аутентификации, которая запрограммирована в приложении (для доступа к содержимому приложения), будет отправлена на сервер. Если кто-то создает поддельный сертификат SSL, который установлен на его устройстве (сертификат выглядит так, как будто он взят с моего веб-сайта) и указывает мое доменное имя на IP-адрес своего компьютера, возможно ли для него захватить информацию аутентификации и любую другую информацию, которая изначально отправляется на сервер? Спасибо за вашу помощь.
Этот вопрос, вероятно, лучше было бы задать об ИТ-безопасности (хотя вам придется предоставить немного больше информации о прогнозируемом векторе атаки).
Вообще говоря, если кто-то подделывает (а) IP-адрес вашего хоста и (б) сертификат, который ваше приложение считает приемлемым - Да. Они могут перехватывать все, что передается по этому соединению.
Это часть того, почему вы не должны кодировать конфиденциальную информацию аутентификации в своем приложении.
Другая часть заключается в том, что вы должны помнить, что ваши пользователи будут загружать это приложение на свои ПК для установки на свои iPhone (магия магазина iTunes), и они могут просто запустить декомпилятор против него и начать искать интересные строки.
Машина пользователя - враждебная среда. Не доверяйте им ничего деликатного.