Android impide que el hombre en el ataque medio de SSL
Estoy utilizando HTTPS en mi aplicación de Android para comunicarme con mi propia API. Cuando hago un chequeo de paquetes, no veo ninguna información que sea buena. Sin embargo, cuando uso software como Fiddler2 para instalar un certificado de confianza en mi Android, puedo ver todas mis llamadas HTTPS en claro lo que es peligroso.
El problema es tan cerca de este tipo, pero en Android no iPhone: ocultar las llamadas HTTPS iOS de violinista
- Excepción terminada handshake de https de Android
- Certificados WebView y SSL
- Deshabilitar SSL como un protocolo en HttpsURLConnection
- Cómo resolver 'no puede encontrar una ruta de certificación válida a la meta solicitada' en Android Studio 2.3.2
- Charles ssl certificado de descarga no "debido a fallos de red"
Estoy utilizando la biblioteca loopj para hacer mis llamadas https: Android Asíncrono Cliente http: //loopj.com/android-async-http/
¿Cómo puedo lidiar con esta vulnerabilidad? (Sé cómo tratar con él conceptualmente, pero necesito código de ejemplo)
- Cliente SSL en Android
- Certificado de Cliente de Webview de Android, Autenticación Mutua, SSL sobre Webview
- Aplicación de Android que trabaja en WIFI y 3G (Sin proxy), pero no funciona en 3G (Si proxy y puerto están asignados)
- ¿Cómo comprobar la huella digital del certificado SSL auto-firmado en Android?
- Certificado particular de confianza solamente emitido por CA - Android
- ¿Firefox para Android utiliza el almacén de certificados de dispositivos?
- Aplicación androide "Sin certificado par"
- Cómo deshabilitar SSLbackbackback con okhttp
Cuando el usuario elige instalar el certificado de Fiddler2 como un certificado raíz de confianza, entonces elige comprometer su propia seguridad. No estoy seguro de que haya mucho que hacer al respecto, ya que la conexión HTTPS de su aplicación pasará por el sistema de validación de certificados de Android, que considerará la conexión como válida, ya que se confía en el certificado.
La solución que me gustaría es incrustar su certificado SSL en su aplicación, y decirle a su aplicación que es el único certificado de confianza. Es seguro y gratuito, ya que puedes adjuntar un certificado autofirmado que creaste tú mismo, ya que controlas el mecanismo de verificación. Vea este artículo de blog para ver ejemplos de código.
- ¿Qué sucede realmente cuando hacemos restauración del estado iónico, excepto, claro y reajustado?
- Extensiones y variables Android de Kotlin