一般来说,关于SSL和安全性,我是一个完全的新手。我找到了以下示例,说明如何加载用于信任自定义SSL证书的密钥库(这是使用Apache HTTPClient,btw):
private SSLSocketFactory newSslSocketFactory() {
try {
KeyStore trusted = KeyStore.getInstance("BKS");
InputStream in = context.getResources().openRawResource(R.raw.mystore);
try {
trusted.load(in, "ez24get".toCharArray());
} finally {
in.close();
}
return new SSLSocketFactory(trusted);
} catch (Exception e) {
throw new AssertionError(e);
}
}
我想您需要访问设备才能修改密钥库,但是...代码存储区中的密钥库密码(“ ez24get”)容易获得这一事实是否存在问题?危害包含此代码的应用程序需要采取什么措施?
最佳答案
如果有风险,您愿意承担。
任何有足够决心反编译您代码的人都可以得到它。即使混淆了代码,也仍然冒着风险,因为他们所需要做的就是找到字符串。