SSL android certificate issue

Question

こんにちは私はhttpsでアンドロイドのSocketを使用していますので、接続を安全にする必要があります。そう、セキュアconnnectionのために私はこのcertificate-

private final TrustManager[] trustAllCerts= new TrustManager[] { new X509TrustManager() { 
    public java.security.cert.X509Certificate[] getAcceptedIssuers() { 
     return new java.security.cert.X509Certificate[] {}; 
    } 
    public void checkClientTrusted(X509Certificate[] chain, 
            String authType) throws CertificateException { 
    } 
    public void checkServerTrusted(X509Certificate[] chain, 
            String authType) throws CertificateException { 
    } 
} }; 

を使用しています今も働いて、接続も確立が、私は理解していないですか、私はこのタイプの証明書の使用が安全なかではないことを知りませんか？これを使うべきかどうか？

Answer 1

いいえ、これはです。脆弱からMan-in-the-middleの攻撃です！

あなたはhttpsを使用しているため、データは送信中に暗号化されています。しかし、反対側はあなたがそれが悪いと思っている人であるというチェックはありません。

上記のカスタムTrustManagerは、チェックを行わず、暗黙のうちにすべてを信頼します。コードではtrustAllCertsとも呼ばれ、ではなく、と明示的に行います。証明書チェーンが信頼できるソースから来ているかどうかを確認する必要があります。

問題は、攻撃者があなたとエンドポイントの間にプロキシを置くことによって、httpsトラフィックを傍受できることです。インターセプトプロキシはそれ自身の証明書を提供することができ、それによってトラフィックを解読し、それに伴って望むものを実行することができます。エンドポイントとのhttps接続を設定し、そこから取得したデータを読み取ることもできます。したがって、攻撃者はあなたが送信したものを読むことができ、受信するものを読むことができ、送信したものと受信するものを変更することができます。