13

最近、Google から次の件名のメールを受け取りました:「Google Play の警告: SSL エラー ハンドラーの脆弱性」。このメールで Google は、私のアプリには [" WebViewClient.onReceivedSslErrorハンドラーの安全でない実装があることを説明しています。具体的には、実装はすべての SSL 証明書の検証エラーを無視するため、アプリは中間者攻撃に対して脆弱になります。攻撃者は、影響を受ける WebView のコンテンツを変更し、送信されたデータ (ログイン資格情報など) を読み取り、JavaScript を使用してアプリ内でコードを実行します。"] ...................

私は自分のコードで使用しています:

    webView.setWebViewClient(new WebViewClient() {

        @Override
        public void onReceivedError(WebView view, int errorCode, String description, String failingUrl) {}

        @Override
        public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
            handler.proceed();
        }

        @Override
        public boolean shouldOverrideUrlLoading(WebView view, String url) {
            return super.shouldOverrideUrlLoading(view, url);
        }

        @Override
        public void onPageFinished(WebView view, String url) {
            super.onPageFinished(view, url);
            // My code
        }
    });

// 私のコード

webview_ClientPost(webView, "https://secure.payu.in/_payment", mapParams.entrySet());

Google Play が SSL に関してこの警告を送信するのはなぜですか? これは私のコードの問題ですか、それとも PayUMoney の問題ですか?

4

2 に答える 2

3

手遅れではないことを願っています..警告は、ユーザーが無効な証明書を含むページに移動していることを通知する必要があることです。直接続行しないでください。

次のような警告ダイアログを実装できます。

@Override
public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) {
    final AlertDialog.Builder builder = new AlertDialog.Builder(this);
    builder.setMessage(R.string.notification_error_ssl_cert_invalid);
    builder.setPositiveButton("continue", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.proceed();
        }
    });
    builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.cancel();
        }
    });
    final AlertDialog dialog = builder.create();
    dialog.show();
}

これは、このリンクの sakiM の回答から取得したものです: Webview avoid security alert from google play on implementation of onReceivedSslError

于 2016-06-14T22:26:00.217 に答える
1

問題はあなたのコードにあります。そのように呼び出すとhandler.proceed();、接続からすべてのセキュリティが効果的に削除されます。

メソッドを削除する必要がありますonReceivedSslError。デフォルトの実装では、安全でない接続は拒否されます。

于 2016-02-10T00:29:32.810 に答える