安卓应用安全指南 5.4.2 通过 HTTPS 的通信 规则书
5.4.2 通过 HTTPS 的通信 规则书
原书:Android Application Secure Design/Secure Coding Guidebook
译者:飞龙
使用 HTTP/S 通信时,遵循以下规则:
5.4.2.1 必须通过 HTTPS 通信发送/接收敏感信息(必需)
在 HTTP 事务中,发送和接收的信息可能被嗅探或篡改,并且连接的服务器可能被伪装。 敏感信息必须通过 HTTPS 通信发送/接收。
5.4.2.2 必须小心和安全地处理通过 HTTP 接收到的数据(必需)
HTTP 通信中收到的数据可能由攻击者利用应用的漏洞产生。 因此,你必须假定应用收到任何值和格式的数据,然后小心实现数据处理来处理收到的数据,以免造成任何漏洞。此外,你不应该盲目信任来自 HTTPS 服务器的数据。 由于 HTTPS 服务器可能由攻击者制作,或者收到的数据可能在 HTTPS 服务器的其他位置制作。 请参阅“3.2 小心和安全地处理输入数据”。
5.4.2.3 SSLException
必须适当处理,例如通知用户(必需)
在 HTTPS 通信中,当服务器证书无效或通信处于中间人攻击下时,SSLException
会作为验证错误产生。 所以你必须为SSLException
实现适当的异常处理。 通知用户通信失败,记录故障等,可被认为是异常处理的典型实现。 另一方面,在某些情况下可能不需要特别通知用户。 因为如何处理SSLException
取决于应用规范和特性,你需要首先考虑彻底后再确定它。
如上所述,当SSLException
产生时,应用可能受到中间人的攻击,所以它不能实现为,试图通过例如 HTTP 的非安全协议再次发送/接收敏感信息。
5.4.2.4 不要创建自定义的TrustManager
(必需)
仅仅更改用于验证服务器证书的KeyStore
,就足以通过 HTTPS ,与例如自签名证书的私有证书进行通信。 但是,正如在“5.4.3.3 禁用证书验证的危险代码”中所解释的那样,在因特网上有很多危险的TrustManager
实现,与用于这种目的的示例代码一样。 通过引用这些示例代码而实现的应用可能有此漏洞。
当你需要通过 HTTPS 与私有证书进行通信时,请参阅“5.4.1.3 通过 HTTPS 与私有证书进行通信”中的安全示例代码。
当然,自定义的TrustManager
可以安全地实现,但需要足够的加密处理和加密通信知识,以免执行存在漏洞的代码。 所以这个规则应为(必需)。