Certificate and Public Key Pinning — это техническое руководство для реализации привязки сертификата или публичного ключа сервера к клиенту, как это описано в презентации Securing Wireless Channels в Mobile Space, глава «Virginia» . Эта документация фокусируется на обеспечении ясного, простого и применимого руководства для обеспечении безопасности канала связи во враждебной среде, где действующие лица могут быть враждебно настроены и цена ошибки в доверии к ним весьма высока. Дополнительные материалы статьи включают в себя: выдержки с кодом, пример программы на Android, пример программы на iOS, пример программы на .Net и пример программы OpenSSL.
Пару слов про OWASP
Это перевод статьи международной организации The OWASP (Open Web Application Security Project) — Certificate and Public Key Pinning. Данная организация занимается проектом обеспечения безопасности веб приложений. Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Сообщество работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе.
Как они сами заявляют — OWASP не аффилирован ни с одной компанией, занимающейся разработкой технологий, но он поддерживает грамотное использование технологий безопасности. OWASP избегает аффилирования, так как полагает, что свобода от влияния со стороны других организаций может облегчить распространение беспристрастной, полезной и дешевой информации о безопасности приложений.
Если вы не слышали про OWASP, то скоре всего вы просто не сталкивались с разработкой защищенных мобильных приложений, где фигурируют пользовательские данные и их сбережения.
OWASP сформировал набор рекомендаций для построения безопасных REST/SOAP сервисов. Разработали стандарт для проведения проверок уровня безопасности приложений. Практически все разработчики мобильных банков стараются следовать их рекомендациям.