我在我的Android应用程序中使用HTTPS与我自己的API通信。当我对数据包进行嗅探时,我没有看到任何好的信息。然而,当我使用Fiddler2这样的软件在我的Android上安装可信证书时,我可以清楚地看到我所有的HTTPS调用,这是危险的。
这个问题很接近这个家伙,但在Android而不是iPhone:隐藏来自fiddler的iOS HTTPS调用
我使用loopj库使我的https调用:Android异步Http客户端http://loopj.com/android-async-http/
我该如何处理这样的漏洞??(我知道如何处理它的概念,但我需要示例代码)
当用户选择将Fiddler2的证书安装为受信任的根证书时,他就选择了危及自己的安全性。我不确定你能做什么,因为你的应用程序的HTTPS连接将通过Android的证书验证系统,它会认为连接是有效的,因为证书是可信的。
我的解决方案是在应用程序中嵌入SSL证书,并告诉应用程序它是唯一受信任的证书。它既安全又免费,因为您可以附加自己创建的自签名证书,因为您控制着验证机制。有关代码示例,请参阅这篇博客文章。