AFNetworking用户可操纵的信息

如果你是AFNetworking用户，那么这里是你需要知道的一些可操纵的信息:

如果你的应用程序通过HTTPS通讯但是尚未启用SSL 绑定，这可能会被报道中的中间人攻击

　　来自AFSecurityPolicy的文档

添加SSL证书绑定有助于避免你的应用程序遭受中间人攻击或其他安全漏洞。处理敏感的客户数据或财务信息的应用程序我们强烈建议启用SSL绑定并使用 HTTPS 连接通信。

按照以下这些建议操作的任何应用程序在任何时刻应该都不会暴露上述漏洞。

如果你的应用程序启用了SSL绑定且通过HTTPS通信,它就不会像报道中说的那样易受 MitM攻击

大量使用 AFNetworking的应用程序遵循了建议的步骤启用了SSL证书或公共密钥绑定。这些应用程序不会像报道中说的那样易受 MitM攻击。

如果你正在使用早先的AFNetworking版本, 我们强烈建议你升级到版本2.5.3

AFNetworking 2.5.1 以及 2.5.2 不适合应用程序产品，尤其是它们不经过额外配置就无法提供TLS评分。

AFNetworking 2.5.3默认为安全的行为，即使未使用SSL绑定也支持域名校验。

如果你正在使用NSURLConnection / NSURLSession而不是AFNetworking，你仍然需要审查你的身份校验的实现

苹果内置的NSURLConnection/NSURLSession以及安全框架API提供的凭证校验的安全实现。然而，就像任何API，应用程序只是在使用这些API的时候是安全的。

决定是否使用AFNetworking并不能保证你的应用程序免受攻击，例如MitM。这完全却取决于该应用程序如何使用这些可用的API。最终，这些开发人员还要在生产环境中测试应用程序的健壮性和网络安全。

如果你想报告一个漏洞，请发邮件给security@alamofire.org

我们会尽快的作出回应。

如果你想要贡献自己的一份力量来让AFNetworking变得更改，请打开一个Issue或者Pull Request

AFNetworking是开源的，这意味着任何人都有机会作出贡献，使它变得更好。Issues 或者Pull Requests 都行。

　　关于负责的安全研究和新闻声明

安全研究人员在实现面向用户的软件的安全性方面扮演者一个重要的角色。如果安全研究人员与开发者同心协力，遵守协定作出负责任的漏洞报告，那么就可以快速的解决应用程序的脆弱性问题同时将现有用户的风险降到最低。

我们是这样子做的，然而，对于某些安全研究人员以及出版商决定由他们自身报道AFNetworking的事情我们感到非常失望。信息安全是所有人都需要了解的一个重要话题，无论是安全研究人员或是新闻工作者都有机会让读者了解这些实际情况。很不幸的是，大多数时候，这些报道都是通过恐惧而不是客观现实来吸引流量的。

目前尚未由明确的方法来证明由多少应用程序遭受了这种行为;猜测安全问题的严重性来计算当它们发生的时候会造成多么大的破坏以及反应的比例数。同样，基于提供少量的工具给商家或他们的用户来推测出脆弱性的应用程序。

事实是，一直以来编写安全的软件都是一个困难的挑战。这样做需要跨越多个学科的工程师的合作。它是极为重要的任务，那个人最好是理性的、 负责任的。

作为软件维护者，由许多东西我们可以做得更好的，并且正在积极采取步骤来改善我们的组织和流程。我们期待着与信息安全社会的成员密切合作，从现在开始负责任地找出并解决任何漏洞。

　　一项关于负责任的开放源代码维护声明

我们对那些正在使用AFNetworking的所有开发者以及iOS社区表示最诚挚的歉意。

作为一个著名的开源项目维护者，提供满足高标准的选择让用户选择作为应用程序的依赖是我们的责任。我们未能尽快的发布更新版本的回应。我们未能有效地传达给你的重要的安全信息。以上，我们真的很抱歉，我们愿意承担全部责任。

在未来的几周，我们将推出了重构的的 AFNetworking 和及其相关的项目，以确保软件质量和通信的一致性一同向前发展。对于用户而言这意味着更加频繁的版本发布和更多的透明度和反馈处理issues和pull requests的过程。我们很兴奋地想知道对于AFNetworking 项目和它的用户，这将意味着什么。

(责任编辑：安博涛)