1

地元のジム向けのアプリの開発がほぼ完了しました。テストがほぼ完了し、バージョン1がほぼ終了したため、MITMタイプの攻撃からアプリを保護することを検討し始めています。このアプリ(銀行のアプリとは対照的に)をMITMしたいと思っている人がいる可能性はほぼゼロですが、それでもセキュリティについては少し積極的になりたいと思います。

アプリはユーザー情報を送受信しませんが(データのやり取りは、体重、担当者、時間、ユーザーがチェックインするクラスの名前などです)、アクティブなジムメンバー全員の名前を送信しています(オートコンプリートテキストボックスに使用されます)。名前を暗号化したいのですが、コードをHTTPからHTTPSに変更するのが難しいと感じています。サーバーにHTTPSと自己署名証明書がありますが、Android側を機能させることができないようです(Eclipseでピア証明書エラーが発生しないようにしてください)。回避策として、AES128を使用して各名前を暗号化/ハッシュし、電話で復号化してから、PHPを介してデータベースにデータを送り返すときにも同じことを行うことを考えました。

これは、セッション全体を暗号化するための十分な代替手段ですか?これを「レイジーSSL」と呼びます。誰かがキーを取得した場合、データを復号化できるようになりますが、ここでも、名前のみを送信し、他のユーザー情報は送信しません。

これが私が使用している暗号化されていないコードです(このブロックを小さくするために不要なものを省略しました):

public JSONObject makeHttpRequest(String url, String method, List<NameValuePair> params) {

        if (method == "POST") {
            // request method is POST
            // defaultHttpClient
            DefaultHttpClient httpClient = new DefaultHttpClient();
            HttpPost httpPost = new HttpPost(url);
            httpPost.setEntity(new UrlEncodedFormEntity(params));

            HttpResponse httpResponse = httpClient.execute(httpPost);
            HttpEntity httpEntity = httpResponse.getEntity();
            is = httpEntity.getContent();

        }

これは、Jsonの解析に使用されるより大きなクラスにあります: 私のJSONParserクラス全体

次のように、サーバーにデータをプルまたは送信する必要がある場所でこのクラスを呼び出しています。

final JSONParser jsonParser = new JSONParser();

    final List<NameValuePair> params = new ArrayList<NameValuePair>();
    params.add(new BasicNameValuePair("tag", Globals.TAG_GETMEMBERS));
    params.add(new BasicNameValuePair("LastRow", lastRow));
    // getting JSON string from URL
    final JSONObject json = jsonParser.makeHttpRequest(
            Globals.WEBSERVICE_URL, "POST", params);

さまざまなリソースの使用:

AndroidでSSLソケットの自己署名証明書を有効にする方法は?

http://randomizedsort.blogspot.com/2010/09/step-to-step-guide-to-programming.html

何か便利なものを手に入れることができました。もともとは「すべての証明書を信頼する」方法を試してみましたが、MITMが発生しやすいため、使用したくありませんでした(さらに機能しませんでした。2番目のリンクを使用して取得しました。証明書を再生成する限り、弾力がある城の瓶をダウンロードしました(

また、次のコマンドを使用してキーストアを生成し、プロジェクトにインポートしました。

keytool -genkey -dname "cn = smashwebserver, ou=Development Team, o=Smash Gyms, L=Sunnyvale, s=California, c=US" -alias ssltest -keypass ssltest -keystore c:\dell\ssltest.keystore -storepass ssltest -validity 180

keytool -export -alias ssltest -keystore c:\dell\ssltest.keystore -file c:\dell\ssltest.cer -storepass ssltest -keypass ssltest

keytool -import -alias ssltestcert -file C:\dell\ssltest.cer -keypass ssltestcert -keystore "C:\Users\Evan Richardson\workspace\SmashGyms\res\raw\ssltestcert" -storetype BKS -storepass ssltestcert -providerClass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath "C:\Users\Evan Richardson\workspace\SmashGyms\libs\bcprov-jdk15on-147.jar"

結果のJSONParserクラスブロックは次のようになります。

if (method == "POST") {

            // Load the self-signed server certificate
            char[] passphrase = "ssltest".toCharArray();
            KeyStore ksTrust = KeyStore.getInstance("BKS");
            ksTrust.load(context.getResources().openRawResource(
                    R.raw.ssltestcert), passphrase);
            TrustManagerFactory tmf = TrustManagerFactory
                    .getInstance(KeyManagerFactory.getDefaultAlgorithm());
            tmf.init(ksTrust);

            // Create a SSLContext with the certificate
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, tmf.getTrustManagers(),
                    new SecureRandom());

            // request method is POST
            // defaultHttpClient
            DefaultHttpClient httpClient = new DefaultHttpClient();
            HttpPost httpPost = new HttpPost(url);
            httpPost.setEntity(new UrlEncodedFormEntity(params));

            HttpResponse httpResponse = httpClient.execute(httpPost);
            HttpEntity httpEntity = httpResponse.getEntity();
            is = httpEntity.getContent();

        }

ただし、次のエラーが発生します。

10-29 11:55:28.470: W/System.err(9561): java.io.IOException: Wrong version of key store.

私はそのエラーを調べました、そして可能な解決策はここで見つかりました:Android弾力がある城:IOException

弾力のある城の瓶の145バージョンをダウンロードして使用しました。これによりioexceptionエラーが修正されますが、次のようになります。

10-29 12:21:57.536: W/System.err(12506): Catch exception while startHandshake: javax.net.ssl.SSLHandshakeException: javax.net.ssl.SSLProtocolException: SSL handshake aborted: ssl=0x10b9a10: Failure in SSL library, usually a protocol error
10-29 12:21:57.536: W/System.err(12506): error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol (external/openssl/ssl/s23_clnt.c:683 0x4026dced:0x00000000)
10-29 12:21:57.536: W/System.err(12506): return an invalid session with invalid cipher suite of SSL_NULL_WITH_NULL_NULL
10-29 12:21:57.586: W/System.err(12506): javax.net.ssl.SSLPeerUnverifiedException: No peer certificate

不思議なことに、URLを「https://google.com」に変更しても、エラーは発生しません。次のようになります。

10-29 14:03:50.198: V/httpresponsetag:(17810): <!DOCTYPE html>
10-29 14:03:50.198: V/httpresponsetag:(17810): <html lang=en>
10-29 14:03:50.198: V/httpresponsetag:(17810):   <meta charset=utf-8>
10-29 14:03:50.198: V/httpresponsetag:(17810):   <meta name=viewport content="initial-scale=1, minimum-scale=1, width=device-width">
10-29 14:03:50.198: V/httpresponsetag:(17810):   <title>Error 405 (Method Not Allowed)!!1</title>
10-29 14:03:50.198: V/httpresponsetag:(17810):   <style>
10-29 14:03:50.198: V/httpresponsetag:(17810):     *{margin:0;padding:0}html,code{font:15px/22px arial,sans-serif}html{background:#fff;color:#222;padding:15px}body{margin:7% auto 0;max-width:390px;min-height:180px;padding:30px 0 15px}* > body{background:url(//www.google.com/images/errors/robot.png) 100% 5px no-repeat;padding-right:205px}p{margin:11px 0 22px;overflow:hidden}ins{color:#777;text-decoration:none}a img{border:0}@media screen and (max-width:772px){body{background:none;margin-top:0;max-width:none;padding-right:0}}
10-29 14:03:50.198: V/httpresponsetag:(17810):   </style>
10-29 14:03:50.198: V/httpresponsetag:(17810):   <a href=//www.google.com/><img src=//www.google.com/images/errors/logo_sm.gif alt=Google></a>
10-29 14:03:50.198: V/httpresponsetag:(17810):   <p><b>405.</b> <ins>That’s an error.</ins>
10-29 14:03:50.198: V/httpresponsetag:(17810):   <p>The request method <code>POST</code> is inappropriate for the URL <code>/</code>.  <ins>That’s all we know.</ins>

これは、実際には自己署名証明書であることを示している可能性がありますが、https:servernameを開くと、機能します(もちろんデフォルトの警告が表示されます)

編集:

すべての証明書を受け入れても同じエラーが発生したので、使用しているホスト名を使用してブラウザを調べたところ、同じエラーが発生しました。次に、ルーターのNAT設定を確認しました...443ではなくポート80に転送していました。失敗しました。443に変更され、少なくともすべての証明書と次のコードを受け入れることで、機能しているように見えます。

public JSONObject makeHttpRequest(String url, String method,
        List<NameValuePair> params) throws NoSuchAlgorithmException,
        CertificateException, NotFoundException, KeyStoreException,
        KeyManagementException {

    // Making HTTP request
    try {

        // check for request method
        if (method == "POST") {

            // request method is POST
            // defaultHttpClient

            // Create a trust manager that does not validate certificate chains
            TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
                public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                    return null;
                }

                public void checkClientTrusted(
                        java.security.cert.X509Certificate[] certs,
                        String authType) {
                }

                public void checkServerTrusted(
                        java.security.cert.X509Certificate[] certs,
                        String authType) {
                }
            } };

            // Install the all-trusting trust manager
            try {
                SSLContext sc = SSLContext.getInstance("SSL");
                sc.init(null, trustAllCerts,
                        new java.security.SecureRandom());
                HttpsURLConnection.setDefaultSSLSocketFactory(sc
                        .getSocketFactory());
            } catch (Exception e) {
            }

            // Now you can access an https URL without having the certificate in the truststore

            HttpClient client = new DefaultHttpClient();
            client = this.sslClient(client);
            HttpPost httpPost = new HttpPost(url);
            httpPost.setEntity(new UrlEncodedFormEntity(params));

            // Log.v(TAG, EntityUtils.toString(result.getEntity()));

            HttpResponse httpResponse = client.execute(httpPost);
            // Log.v("httpresponsetag:", EntityUtils.toString(httpResponse
            // .getEntity()));
            HttpEntity httpEntity = httpResponse.getEntity();
            is = httpEntity.getContent();

        }
4

3 に答える 3

4

怠惰なSSLなどを再発明することを忘れてください。SSLを使用して、コードを修正するだけです。また、証明書の検証をオフにせず、すべての証明書を信頼してください。自己署名証明書の使用は特に難しいことではありません。試したことを投稿すると、人々はあなたを正しい方向に向けます。通常、次のことを行う必要があります。

  1. 証明書を取得する
  2. アプリの生のリソースに入れてください
  3. それを読んで、それで初期化KeyStoreします
  4. これをSSLソケットファクトリに渡します
  5. HTTPクライアントを4からのソケットファクトリで初期化します。

これは、を使用している場合の方法です。ポイントは:HttpClientを登録することです。SSLSocketFactory

KeyStore ts = KeyStore.getInstance("BKS");
InputStream in = getResources().openRawResource(R.raw.mytruststore);
ts.load(in, TRUSTSTORE_PASSWORD.toCharArray());

SchemeRegistry schemeRegistry = new SchemeRegistry();
schemeRegistry.register(new Scheme("http", PlainSocketFactory
                .getSocketFactory(), 80));
SSLSocketFactory sslSocketFactory = new SSLSocketFactory(ts);
schemeRegistry.register(new Scheme("https", sslSocketFactory, 443));
HttpParams params = new BasicHttpParams();
ClientConnectionManager cm = 
    new ThreadSafeClientConnManager(params, schemeRegistry);

HttpClient client = new DefaultHttpClient(cm, params);

その他の例、サンプルプロジェクト、およびいくつかの背景情報については、これを参照してください:http: //nelenkov.blogspot.com/2011/12/using-custom-certificate-trust-store-on.html

于 2012-10-29T09:32:57.997 に答える
1

なぜSSLを回避し、独自の暗号化スキームを発明したいと思うのかわかりません。自己署名証明書が問題を引き起こしていると感じています。おそらく、Eclipseでの自己署名証明書の検証をオフにする必要がありますか?

于 2012-10-29T05:10:18.437 に答える
-2

sslを使用しているとのことですが、必要に応じて1つの選択肢があります。エンコードとデコードを使用しています。

function encodeString($ss,$ntime){

    for($i=0;$i<$ntime;$i++){

        $ss=base64_encode($ss);

    }

    return $ss;

}



function decodeString($ss,$ntime){

    for($i=0;$i<$ntime;$i++){

        $ss=base64_decode($ss);

    }

    return $ss;

}

あなたはそれを次のように使うことができます、

 encodeString("$membername", 3); //3 will make the encryption more strong. Higher the value higher the encryption.

 decodeString("$membername", 3); //decodes the member name.
于 2012-10-29T05:22:16.623 に答える