1

在 SSL 和一般安全性方面,我完全是新手。我找到了以下关于如何加载密钥库以信任自定义 SSL 证书的示例(这是使用 Apache HTTPClient,顺便说一句):

private SSLSocketFactory newSslSocketFactory() {
  try {
    KeyStore trusted = KeyStore.getInstance("BKS");
    InputStream in = context.getResources().openRawResource(R.raw.mystore);
    try {
      trusted.load(in, "ez24get".toCharArray());
    } finally {
      in.close();
    }
    return new SSLSocketFactory(trusted);
  } catch (Exception e) {
    throw new AssertionError(e);
  }
}

我想您需要访问设备才能修改密钥库,但仍然......密钥库密码(“ez24get”)在代码中很容易获得这一事实是否存在问题?破坏包含此代码的应用程序需要什么?

4

1 回答 1

1

如果这是你愿意承担的风险。

任何有足够决心反编译您的代码的人都可以得到它。即使你混淆了你的代码,你仍然会冒风险,因为他们需要做的就是找到字符串。

于 2011-03-04T00:36:57.953 回答