4

我在我的 Android 应用程序中使用 HTTPS 与我自己的 API 进行通信。当我进行数据包嗅探时,我看不到任何好的信息。但是,当我使用 Fiddler2 之类的软件在我的 Android 上安装受信任的证书时,我可以清楚地看到我所有的 HTTPS 调用,这很危险。

问题与这个人非常接近,但在 Android 而非 iPhone 中: 从 fiddler 隐藏 iOS HTTPS 调用

我正在使用 loopj 库进行 https 调用:Android Asynchronous Http Client http://loopj.com/android-async-http/

我该如何处理这样的漏洞?(我知道如何在概念上处理它,但我需要示例代码)

4

1 回答 1

11

当用户选择将 Fiddler2 的证书安装为受信任的根证书时,他就选择了危害自己的安全性。我不确定您可以做些什么,因为您的应用程序的 HTTPS 连接将通过 Android 的证书验证系统,该系统会将连接视为有效,因为证书是受信任的。

我会采用的解决方案是将您的 SSL 证书嵌入到您的应用程序中,并告诉您的应用程序它是唯一受信任的证书。它安全且免费,因为您可以控制验证机制,因此您可以附加您自己创建的自签名证书。有关代码示例,请参阅此博客文章

于 2013-04-06T11:15:47.323 回答