如何解决在android network-security-config中,将clearTextTrafficPermitted设置为true并指定信任锚证书是否可提供针对MITM的安全性?
在检查第三方android应用程序的network-security-config.xml时,我发现在domain-config标记中,使用了两个标记:“ clearTextTrafficPermitted = True”和“ trust-anchor”,其中列出了证书来源。我担心的是,当应用程序开发人员已经掌握了CA证书列表时,为什么会允许明文传输到特定域,这对安全性有何影响?另外,请您详细说明一下此配置如何提供针对MITM攻击的安全性。
根据official android developer reference的标签定义已明确说明:
以下是network-security-config的摘录:
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates overridePins="true" src="system"/>
<certificates overridePins="true" src="user"/>
</trust-anchors>
</base-config>
<domain-config cleartextTrafficPermitted="true">
<domain includeSubdomains="false">Domain1
</domain>
<domain includeSubdomains="false">Domain2
</domain>
<domain includeSubdomains="true">Domain3
</domain>
<trust-anchors>
<certificates src="@raw/godaddy_root"/>
<certificates src="@raw/godaddy_g2"/>
<certificates src="@raw/digicert_root"/>
<certificates src="@raw/digicert_g2"/>
</trust-anchors>
</domain-config>
请注意,该应用程序的目标版本为sdk 28。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。