リスクファインダーブログ: Network Security Configurationについて - Android N
この脆弱性の対応策がNetwork Secure Config機能に入っています。 宣伝になりますが、ちなみに、この脆弱性はRiskFinderでも検知ができ以下のようなメッセージが表示されます。 脆弱性が生み出される理由 さて、これらの脆弱性が生み出される理由は、何かというと、凡ミス、及び知っているか知っていないかの単純な知識不足です。 アンドロイドアプリの多くは、サーバと通信をします。ログイン等の処理があるときはhttpsを使用して通信を行います。しかしながら開発段階では、サーバの正式な証明書は用意されていません(正式なサーバ名も決まるのは、開発の最後の段階だったり、開発が終わってからだったりしますしね)。従って開発段階では、テストサーバを立てて開発を行います。テストサーバとhttps通信を行うとき、もちろんサーバー証明書が必要になりますが、パブリックCA局にお願いしてお金を払ってテス
SSL/TLSライブラリの正しい使い方(もしくは、コモンネームの検証について)
スマホアプリの市場拡大に伴い、直接SSL/TLSライブラリを使用するプログラムを書く機会も増えてきている今日この頃かと思います。 SSL/TLSライブラリを使う際には、接続確立時にサーバの認証を正しく行う必要があります。具体的には、クライアントプログラムで以下の2種類の検証を行うことになります。 SSL/TLSライブラリがサーバの証明書の検証に成功したこと サーバの証明書に含まれるコモンネーム注1が接続しようとしたサーバと同一であること 前者については、OpenSSLの場合はSSL_CTX_set_verifyの引数にSSL_VERIFY_PEERを指定するなどして、ライブラリ側で処理を行わせることが可能です(証明書の検証に失敗した場合はSSL_connectがエラーを返します)。 一方、後者についてはSSL/TLSライブラリによって差があり、検証機能を有効にするために特別な呼出が必要だっ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
