-1

SSL接続をしています。Feddler または Charles アプリを使用すると、復号化された SSL データを確認できます。このバグを防ぐにはどうすればよいですか?

更新: Charles の証明書がインポートされていません。私の Android デバイスはルート化されており、Proxy Droid アプリを使用しており、信頼できないアプリを許可しています。この操作の後、復号化されたデータを見ることができます。このバグをブロックしたい...

Update2: クラス EasyX509TrustManager.java (apache) を使用して証明書を確認します。void checkServerTrusted が表示されます。「certificates[0].checkValidity();」を使用する場合 - 証明書は常に有効ですが、「standardTrustManager.checkServerTrusted( certificates, authType );」を使用する場合 - 証明書は有効 (charles がオフ) または無効 (charles あり) のいずれかです。「証明書[0].checkValidity();」なし 正常に動作しますが、それが正しいかどうかはわかりません。

4

1 に答える 1

0

Charles または Fiddler の証明書をインポートしていないのに、まだデバイスからのトラフィックが表示される場合は、HTTPS を適切に使用していないことを意味します。HTTPS 接続を保護するために使用される証明書に対して適切なチェーン チェックを実行するように、コードを構成する必要があります。ほとんどの言語/フレームワーク スタックでは、これは自動的に行われるため、オーバーライドするためには面倒なことをする必要があります。

使用している言語/フレームワークと、リクエストの送信に使用しているオブジェクトは何ですか?

デバッガーの証明書をデバイスにインポートした場合、既定では、ほとんどの言語/フレームワークが信頼できると見なします。これを防ぐために、コードは、通信を続行できるようにする前に、サーバーからの証明書チェーンを手動で評価します。この手法は「証明書のピン留め」と呼ばれます。

于 2013-05-20T21:28:23.263 に答える