1

SSL とセキュリティ全般に関しては、私はまったくの初心者です。カスタムSSL証明書を信頼するためにキーストアをロードする方法について、次の例を見つけました(これはApache HTTPClientを使用しています):

private SSLSocketFactory newSslSocketFactory() {
  try {
    KeyStore trusted = KeyStore.getInstance("BKS");
    InputStream in = context.getResources().openRawResource(R.raw.mystore);
    try {
      trusted.load(in, "ez24get".toCharArray());
    } finally {
      in.close();
    }
    return new SSLSocketFactory(trusted);
  } catch (Exception e) {
    throw new AssertionError(e);
  }
}

キーストアを変更するには、デバイスにアクセスする必要があると思いますが、それでも... キーストアのパスワード ("ez24get") がコードですぐに使用できるという事実に問題はありませんか? このコードを含むアプリケーションを侵害するには何が必要でしょうか?

4

1 に答える 1

1

それがリスクである場合、あなたは喜んで引き受けます。

あなたのコードを逆コンパイルするのに十分な決意を持っている人なら誰でもそれを手に入れることができます。コードを難読化しても、文字列を見つけるだけでよいため、リスクを冒すことになります。

于 2011-03-04T00:36:57.953 に答える