logo标签列表

Android如何防止SSL中间人攻击

androidsslhttpsman-in-the-middle
4
我在我的Android应用中使用HTTPS与自己的API进行通信。 当我抓包时,我看不到任何信息,这很好。 然而,当我使用像Fiddler2这样的软件在我的Android上安装受信任的证书时,我可以清晰地看到所有我的HTTPS调用,这是危险的。
问题与这个人如此接近,但是在Android而不是iPhone: 隐藏iOS HTTPS调用 我正在使用loopj库来进行我的https调用:Android异步Http客户端 http://loopj.com/android-async-http/ 我该如何处理这种漏洞?(我知道如何从概念上处理它,但我需要示例代码)
1个回答
11
当用户选择安装 Fiddler2 证书作为受信任的根证书时,他就选择了妥协自己的安全。我不确定你能做什么来解决这个问题,因为你的应用程序的 HTTPS 连接将通过 Android 的证书验证系统进行,该系统将认为连接是有效的,因为证书是可信的。
我会选择的解决方案是将 SSL 证书嵌入到你的应用程序中,并告诉你的应用程序它是唯一可信的证书。这是安全而且免费的,因为你可以附加一个自签名证书,由你自己创建,因为你控制验证机制。有关代码示例,请参见此博客文章
谢谢你。很抱歉让你等了这么久才接受你的答案,我只是需要先测试一下。不过有一件事,博客的密码(myseceret)是明文的。他应该加密它,因为 APKtool 会显示字符串。 - AlAsiri
博客链接已损坏。 - Nikunj Paradva
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接