Kun sovellus tekee datapyynnön, jos se tulostaa lokin joka kerta arvioidakseen sen olevan hyvin "inhimillistä" toimintaa, se analysoidaan yleensä keräämällä paketteja.
Yleisimmin käytetylle Fiddler-ohjelmistolle tavallinen http-pakettien kaappaus on ihan ok, mutta https-pakettien kaappaukseen sinun täytyy asentaa Fiddler-sertifikaatti paikallisesti, koska https on salattu. Ja koska kyseessä on itse asennettu estovarmente, järjestelmä yleensä ilmoittaa, että verkkoasi on saatettu valvoa......
Android 7.0 tai uudempi, https-paketteja voi kaapata asennuksen jälkeen, mutta 7.0 havaitsi, että vaikka varmenne olisi asennettu, https-paketteja ei silti voi kaapata, eli haku...... Totta kai on olemassa sisäpiirin tarina, ja Google on muuttanut verkon tietoturvakonfiguraatiota versiossa 7.0 vähentääkseen sovellustason tarkkuutta......
Virallinen dokumentaatio: https://developer.android.com/training/articles/security-config.html
Toisin sanoen, vaikka järjestelmään olisi asennettu sertifikaatti, sovellus itse voi valita, luottaako vai ei. Aloite siirtyy järjestelmästä yksittäisiin sovelluksiin.
Miten konfiguroida? Opiskelijat voivat klikata sisään ja nähdä itse, se on silti hyvin yksinkertaista, ja sitä voi myös konfiguroida eri tavalla debuggausta ja julkaisua varten. Tässä on postaus niille opiskelijoille, jotka eivät osaa surffata Internetissä tieteellisesti, universumin yleistä konfiguraatiota (eli luota kaikkiin todistuksiin...... )
Konfiguraatiotiedosto: res/xml/network_security_config.xml
AndroidManifest.xml Tiedoston konfigurointi
|
Julkaistu 20.3.2018 21.32.31
|
|
|
