在我的一个应用程序中,我使用自签名证书的HTTPS,并按照Android开发者培训网站上的示例代码进行了操作(https://developer.android.com/training/articles/security-ssl.html#UnknownCa)。
最近,我收到了以下警报,提示当前实现不安全:
如果需要,我应该实现一个自定义的
最近,我收到了以下警报,提示当前实现不安全:
是否可以提供更多详细信息,以确定除上述链接示例代码之外需要更新的内容?安全警告
您的应用正在使用带有Apache HTTP客户端的X509TrustManager接口的不安全实现,从而存在安全漏洞。请参见此Google帮助中心文章了解详细信息,包括修复漏洞的截止日期。
如果需要,我应该实现一个自定义的
TrustManager
吗?如果是这样,它应该验证什么?
TrustManager
?您是如何使用它的? - CommonsWareTrustManager
的例子,但我不确定是否足够。http://blog.fordemobile.com/2012/04/https-requests-on-android.html(查看EasyX509TrustManager
实现) - Muzikantimplements X509TrustManager
,那么可能是来自项目中的库,而不是您自己的代码。您是否使用了任何使用互联网访问的库(例如广告网络)? - CommonsWare