In einer meiner Anwendungen verwende ich HTTPS mit einem selbstsignierten Zertifikat und folgte dem Beispielcode von der Android-Entwickler-Trainings-Website (https://developer.android.com/training/articles/security-ssl.html#UnknownCa).Google Play Sicherheitswarnung für unsicheren TrustManager
Ich habe vor kurzem die folgende Warnung sagen, dass die aktuelle Implementierung ist nicht gesichert:
Sicherheitsalarm
Ihre App eine unsichere Implementierung der X509TrustManager Schnittstelle mit einem Apache-HTTP-Client verwendet Dies führt zu einer Sicherheitslücke. Einzelheiten finden Sie unter this Google Help Center article, einschließlich der Frist für die Behebung der Sicherheitslücke.
Kann jemand mehr Details darüber angeben, was über den oben verlinkten Beispielcode hinaus aktualisiert werden sollte?
Sollte ich eine benutzerdefinierte TrustManager
implementieren? Wenn ja, was sollte es verifizieren?
Ähm, das in [Google-Hilfeartikel] (https://support.google.com/faqs/answer/6346016) bedeckt zu sein scheint: SSL „Um richtig zu behandeln Überprüfen Sie in der checkServerTrusted-Methode Ihrer benutzerdefinierten X509TrustManager-Schnittstelle den Code, um entweder CertificateException oder IllegalArgumentException auszulösen, wenn das vom Server vorgelegte Zertifikat Ihren Erwartungen nicht entspricht. " Wie genau richten Sie Ihren TrustManager ein? Wie benutzt du es? – CommonsWare
@CommonsWare genau wie im Beispielcode https://developer.android.com/training/articles/security-ssl.html#UnknownCa Sollte ich etwas anderes tun? – Muzikant
Es gibt keinen Code für das selbstsignierte Serverzertifikatszenario auf der Seite, mit der Sie verknüpft sind. Es gibt Code für das Szenario mit unbekannten Zertifizierungsstellen. – CommonsWare