Java 保护连接检查SSL证书?
我正在实习。 在这里,他们给了我一个Android应用程序的代码,该代码已被一家代码安全机构修改,并告诉我更改文档中的一些要点。 现在,他们担心信息泄漏,因为应用程序在连接到银行服务器时没有检查SSL证书,从而冒着“中间人”攻击的风险 是否有任何类可以用来检查证书的到期日期,或者它是否可信 应用程序中的http连接示例:Java 保护连接检查SSL证书?,java,android,security,ssl,Java,Android,Security,Ssl,我正在实习。 在这里,他们给了我一个Android应用程序的代码,该代码已被一家代码安全机构修改,并告诉我更改文档中的一些要点。 现在,他们担心信息泄漏,因为应用程序在连接到银行服务器时没有检查SSL证书,从而冒着“中间人”攻击的风险 是否有任何类可以用来检查证书的到期日期,或者它是否可信 应用程序中的http连接示例: trustStore = KeyStore.getInstance(KeyStore.getDefaultType()); tru
trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null, null);
SSLSocketFactory sf = new CustomSSLSocketFactory(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
HttpParams bhttpparams = new BasicHttpParams();
HttpProtocolParams.setVersion(bhttpparams, HttpVersion.HTTP_1_1);
HttpProtocolParams.setContentCharset(bhttpparams, "utf-8");
bhttpparams.setBooleanParameter("http.protocol.expect-continue", false);
HttpConnectionParams.setConnectionTimeout(bhttpparams, 20000);
HttpConnectionParams.setSoTimeout(bhttpparams, 200000);
SchemeRegistry registry = new SchemeRegistry();
registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
registry.register(new Scheme("https", sf, 443));
ClientConnectionManager ccm = new ThreadSafeClientConnManager(bhttpparams, registry);
client = new DefaultHttpClient(ccm, bhttpparams);
client.getCredentialsProvider().setCredentials(new AuthScope(null, -1), new UsernamePasswordCredentials("", ""));
HttpResponse response = client.execute(urlws);
in = new BufferedReader(new InputStreamReader(response.getEntity().getContent(), "UTF-8"), 8);
但是我会质疑那些在没有适当简报的情况下把这项任务交给一个不知情的实习生的人的能力和理智,你可以告诉他们我是这么说的。我还会问一些严肃的问题,关于这行代码在第一次和平中是如何到达那里的,以及允许它保留下来的测试的不足。Android SSL堆栈默认是安全的。只需扔掉任何自定义SSL内容并使用默认值。通过自动删除该内容,它将检查证书是否过期以及是否由其中一个证书颁发机构签署,检查服务器的域名是否与证书中的域名相同,并检查签署证书的CA是否可信?如果我这样写:sf.setHostnameVerifier怎么办(SSLSocketFactory.STRICT_HOSTNAME_VERIFIER);@Marvin是的,是的,是的。除最终的可信签名者检查外,其他所有检查都会发生。无法回答您的第二个问题,但您应该可以从文档中自己完成。谢谢,我想我也必须更改
信任库.load(null,null)