Android impide que el hombre en el ataque medio de SSL

Estoy utilizando HTTPS en mi aplicación de Android para comunicarme con mi propia API. Cuando hago un chequeo de paquetes, no veo ninguna información que sea buena. Sin embargo, cuando uso software como Fiddler2 para instalar un certificado de confianza en mi Android, puedo ver todas mis llamadas HTTPS en claro lo que es peligroso.

El problema es tan cerca de este tipo, pero en Android no iPhone: ocultar las llamadas HTTPS iOS de violinista

Estoy utilizando la biblioteca loopj para hacer mis llamadas https: Android Asíncrono Cliente http: //loopj.com/android-async-http/

¿Cómo puedo lidiar con esta vulnerabilidad? (Sé cómo tratar con él conceptualmente, pero necesito código de ejemplo)

Cuando el usuario elige instalar el certificado de Fiddler2 como un certificado raíz de confianza, entonces elige comprometer su propia seguridad. No estoy seguro de que haya mucho que hacer al respecto, ya que la conexión HTTPS de su aplicación pasará por el sistema de validación de certificados de Android, que considerará la conexión como válida, ya que se confía en el certificado.

La solución que me gustaría es incrustar su certificado SSL en su aplicación, y decirle a su aplicación que es el único certificado de confianza. Es seguro y gratuito, ya que puedes adjuntar un certificado autofirmado que creaste tú mismo, ya que controlas el mecanismo de verificación. Vea este artículo de blog para ver ejemplos de código.

  • ¿Cómo habilitar la depuración de SSL en la plataforma Android?
  • HttpsUrlConnection: Ancla de confianza para ruta de certificación no encontrada en 2.3
  • Conexión HTTPS con certificado de cliente en una aplicación para Android
  • ¿Cómo puedo solucionar el problema "No se han encontrado certificados: la aplicación Chrome ha solicitado un certificado" Edición de Android / Google Chrome
  • ¿Cómo puedo implementar Pinning del certificado SSL mientras uso React Native
  • Android No se puede verificar el certificado autofirmado sin una conexión previa a Internet
  • ¿Por qué vuelve Volley a SSLV3?
  • Protocolos SSL / TLS y suites de cifrado con AndroidHttpClient
  • ¿Qué usamos para la configuración de seguridad de red de Android N para un certificado auto-firmado?
  • Confiando en todos los certificados con okHttp
  • Administrador SDK Host desconocido dl-ssl.google.com
    • Interesting Posts

    Importar proyecto de ejemplo en eclipse

    Android en el cambio de orientación Cambiar

    AlarmManager sólo funciona en un futuro próximo

    Hacer una aplicación de Android que no se puede desinstalar / eliminar

    No se puede importar facebook-sdk 4.0.1

    RoboGuice 3.0 NoClassDefFoundError: roboguice.inject.ContextScopedRoboInjector

    Integre Visual Studio Git Repository en línea a Android Studio 1.0.2

    Error de VideoView getCurrentPosition () en Acer Iconia A200

    dirección o dirección no válida del bloque corrupto 0x7acd0bd0 pasado a dlfree

    Crear listview en el fragmento android

    "Error al entregar el resultado" – onActivityForResult

    Incorporar datepicker dentro de un Acitivity

    Android: detención de actividad que no se reanuda

    ¿Cuál es el uso de la etiqueta de parámetro utilizada en TabHost.newTabSpec

    Recibir datos de otra aplicación viene nulo en android
    FlipAndroid es un fan de Google para Android, Todo sobre Android Phones, Android Wear, Android Dev y Aplicaciones para Android Aplicaciones.