当Android遇到HTTP HTTPS的SSL安全机制

原创 2013年12月03日 16:17:13


项目中遇到了联网请求的的证书验证,其中一个错误是比较容易忽略的问题

一、

HTTPS连接类存在严重安全漏洞:


未按照最佳代码安全实践去处理HTTPS加密连接的域名和证书匹配性检查


sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); 




改为:

sf.setHostnameVerifier(SSLSocketFactory.STRICT_HOSTNAME_VERIFIER);   //这样一个CA验证的连接才会被保护

二、SSL认证,在Android中的发挥

The Secure Sockets Layer (SSL)—now technically known asTransport Layer Security (TLS)—is a common building block for encrypted communications between clients and servers. It's possible that an application might use SSL incorrectly such that malicious entities may be able to intercept an app's data over the network. To help you ensure that this does not happen to your app, this article highlights the common pitfalls when using secure network protocols and addresses some larger concerns about using Public-Key Infrastructure (PKI).

安全套接字层(SSL)现在技术上被称为传输层安全(TLS) ,是一种常见的积木为客户端和服务器之间的加密通信。这有可能是一个应用程序可能使用SSL错误,使得恶意实体可能能够在网络上拦截一个应用程序的数据。为了帮助您确保这种情况不会发生在你的应用程序,本文使用安全网络协议和地址使用一些较大的担忧凸显时常见的陷阱公钥基础设施(PKI)

相关文章推荐

Android静态安全检测 -> HTTPS敏感数据劫持漏洞

HTTPS敏感数据劫持漏洞 - SSLSocketFactory.setHostnameVerifier方法 1. API 继承关系 java.lang.Object org.a...

HttpClient和OkHttp关于Https请求问题

HttpClient和OkHttp关于Https请求问题

Android程序真退出与假退出后台运行详解

Android程序真退出与假退出后台运行详解 public void onBackPressed() { AlertDialog.Builder builder = new Builder(La...
  • dj0379
  • dj0379
  • 2016年03月11日 00:35
  • 1139

Cordova config.xml配置WebView全屏浏览

一、config.xml可以配置WebView默认情况下全屏 说明: 1.多数应用默认下不全屏,只是修改系统工具栏的样式。 2.目前Cordova的浏览器插件InAppBrowser,Themeabl...

如何通过Openssl实现私有CA,并为HTTP服务提供TLS/SLL安全机制

Openssl是SSL的开源实现(可以免费下载应用程序),是一种安全机密程序,主要用于提高远程登录访问的安全性。也是目前加密算法所使用的工具之一,功能很强大。        Openssl为网络通信...

Android安全机制解析与应用实践

  • 2017年09月28日 19:44
  • 14.94MB
  • 下载

Android安全机制

  • 2014年03月02日 22:24
  • 12.4MB
  • 下载

一种基于改进的HTTP摘要认证的SIP安全机制

摘  要: SIP协议是当前IP电话中的主流协议,HTTP摘要认证机制被很多SIP系统作为安全机制,但存在客户端不能认证服务器端,且不支持密钥协商的缺陷。为解决这一不足,提出了一种基于改进的HTTP摘...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:当Android遇到HTTP HTTPS的SSL安全机制
举报原因:
原因补充:

(最多只允许输入30个字)