#java #android #android-security #x509trustmanager
#java #Android #android-безопасность #x509trustmanager
Вопрос:
У меня есть приложения в PlayStore, оба имеют одинаковую реализацию X509TrustManager, но одно продолжает помечаться как имеющее «небезопасную реализацию», но код идентичен… Я был бы признателен за некоторую помощь / советы о том, как это можно улучшить, безопасность не является моей сильной стороной. Спасибо
Код:
public void createTrustManager() {
// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] {new X509TrustManager() {
@Override
public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) {
}
@Override
public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) {
try {
try {
chain[0].checkValidity();
} catch (java.security.cert.CertificateExpiredException e) {
e.printStackTrace();
} catch (java.security.cert.CertificateNotYetValidException e) {
e.printStackTrace();
}
} catch (IllegalArgumentException e) {
try {
throw new IllegalArgumentException("CertificateNotYetValidException");
} catch (IllegalArgumentException ex) {
ex.printStackTrace();
}
}
}
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return null;
}
public void checkClientTrusted(X509Certificate[] certs, String authType) {
}
public void checkServerTrusted(X509Certificate[] certs, String authType) {
}
}
};
// Install the all-trusting trust manager
SSLContext sc = null;
try {
sc = SSLContext.getInstance("SSL");
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
try {
assert sc != null;
sc.init(null, trustAllCerts, new java.security.SecureRandom());
} catch (KeyManagementException e) {
e.printStackTrace();
}
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
// Create all-trusting host name verifier
// Install the all-trusting host verifier
HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession arg1) {
return hostname.equalsIgnoreCase(RestFUL_URLS.DOMAIN) || hostname.equalsIgnoreCase(RestFUL_URLS.DOMAIN) || hostname.equalsIgnoreCase("reports.crashlytics.com") || hostname.equalsIgnoreCase("api.crashlytics.com") || hostname.equalsIgnoreCase("api.pushy.me") || hostname.equalsIgnoreCase("mqtt.pushy.me") || hostname.equalsIgnoreCase("play.google.com" );
}
});
}
Комментарии:
1. Итак, в чем проблема, для решения которой у вас есть такой небезопасный X509TrustManager?
2. @laalto, отправка данных на сервер.
3. Почему вы думаете, что для этого вам нужен пользовательский TrustManager?
4. Кроме того, у Google есть часто задаваемые вопросы , где они конкретно упоминают две вещи, которые вы не должны делать, но которые выполняет ваш код (перехватывая исключения, которые вы не должны перехватывать, и полагаясь только на
checkValidity
, чтобы решить, доверять ли сертификату).5. Проблемы включают, но не ограничиваются ими: (1) то, что он у вас вообще есть, вместо того, чтобы использовать сертификат, подписанный центром сертификации, на сервере или импортировать его сертификат в ваше хранилище доверия; (2) вы не проверяете каждый сертификат в цепочке; (3) вы не проверяете, действительно ли цепочка является цепочкой, а не просто набором случайных несвязанных сертификатов; (4) вы принимаете сертификаты с истекшим сроком действия или еще не действительные сертификаты; (5) странное поведение на
IllegalArgumentException
, (6) то, чтоgetAcceptedIssuers()
возврат null противоречит спецификации; (7) вашHostnameVerifier
игнорирует фактический сертификат; …