Codename one Application Network Security & Other Questions

Question

Я реализовал одно корпоративное приложение с использованием одной кодовой системы, но приложение принимает сертификат самоподписывания из доверенного ЦС, который известен как уязвимость, связанная с сертификатом.

Итак, как я могу запретить приложению принимать все сертификаты, такие как org.apache.http.conn.ssl.AllowAllHostnameVerifier или SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER?

А также как удалить разрешение WRITE_EXTERNAL_STORAGE, и я также заметил, что есть одно неизвестное разрешение com.google.android.c2dm.permission.RECEIVE. Как я могу удалить это?

Кроме того, как отключить флагом отладки для android в кодовом имени и как защитить двоичные файлы, чтобы никто не мог обратного проектирования.

Спасибо,

Answer 1

Codename Один приложения затемненный по умолчанию и труднее осуществлять реинжиниринг, чем обычные родные приложения, как мы не используем формат XML, который довольно легко осуществить реинжиниринг. Флаг отладки также отключен для версии выпуска, которую мы создаем по умолчанию, если вы явно не указали иначе в настройках или не установили сертификат подписи.

WRITE_EXTERNAL_STORAGE - это специальный случай, который мы добавляем по умолчанию для совместимости со старыми версиями Android. Вы можете отключить его, используя подсказку сборки android.blockExternalStoragePermission=false. Другие разрешения добавляются на основе использования API, как описано в developer guide.

Удостоверение сертификата (или шифрование SSL) было реализовано, поскольку вопрос изначально был задан see this post.