android-security - 当我们不直接使用代码时如何修复 Google App 漏洞 - TrustManager?
问题描述
该应用程序一直很好,直到最近我们开始从 Google 收到有关 TrustManager 漏洞的邮件。我们不直接使用 TrustManager。所以唯一的可能性来自那些依赖。我们对包含“TrustManager”并返回很多的地方进行了快速搜索。
根据谷歌的说法,我们应该在下面修复它。我们如何在 Flutter 项目中自定义这些代码?
要正确处理 SSL 证书验证,请更改自定义 X509TrustManager 接口的 checkServerTrusted 方法中的代码,以在服务器提供的证书不符合您的期望时引发 CertificateException 或 IllegalArgumentException。特别是,请注意以下陷阱:
确保 checkServerTrusted 引发的异常未在方法中捕获。这将导致 checkServerTrusted 正常退出,导致应用信任有害证书。不要使用 checkValidity 来审查服务器证书。checkValidity 检查证书是否未过期,并且无法判断证书是否不应该被信任。
解决方案
在我们的案例中,它是由阿里 OSS 或阿里 VOD SDK 引起的。
推荐阅读
- python-3.x - 没有被称为python的函数
- stm32 - STM32 DFU over UART 写入不正确的数据
- xpages - 在 XPiNC V10 中开发 XPage 时出现 StackoverflowError
- javascript - 当值是字符串而不是 int 时更改选择选项值的值
- r - 如何为年份系列绘制多条线(按因子水平)?
- python - LinkedQueues 和模拟打印机
- react-native - VictoryScatter 图表不会在 React Native 的图表区域内呈现 dataComponent
- javascript - 初始化一个可能无限的数组?
- linux - /sbin/ldconfig.real:/usr/lib/ 不是符号链接(整个文件夹)
- python - 为什么 pip 没有正确更新 tensorflow,如果是,为什么仍然抛出“属性错误”?