魔趣论坛

 找回密码
 注册账号
通过您的新浪微博帐号登录
QQ登录
查看: 601|回复: 0

[新闻资讯] Android O??HttpsURLConnection?????TLS????

[复制链接]
  • TA的每日心情
    开心
    2017-6-18 17:28
  • 签到天数: 72 天

    连续签到: 1 天

    [LV.6]常住居民II

    升级   86.22%

    发表于 2017-5-4 12:54:28 | 显示全部楼层 |阅读模式
    为提高安全性,在 Android O 中,已从 HttpsURLConnection 中移除不安全的 TLS 版本回退。


    有何变更?为何作出这些变更?
    TLS 版本回退是解决 HTTPS 堆栈兼容性问题的一种权宜方法,用于连接未正确实现 TLS 协议版本协商的服务器。在之前的 Android 版本中,如果因为某种原因初始 TLS 握手失败,HttpsURLConnection 将停用较新的 TLS 协议版本并重新尝试握手。在 Android O 中,不会再重新尝试进行此操作。与正确实现 TLS 协议版本协商的服务器的连接不受影响。

    我们不再采用此权宜方法,因为它会停用 TLS 协议版本降级保护,从而降低 TLS 安全性。截至 2015 年末,通过此权宜方法连接的网络服务器的比例不到 0.01%,因此没必要再使用此方法。


    我的应用会受此影响吗?
    大多数应用不受此变更的影响。要确定您的应用是否受影响,最简便的方式是使用 Android O Developer Preview 构建和测试您的应用。在 Android O 中,下列情形下,您的应用的 HTTPS 连接不受影响:
    • 目标网络服务器使用最新版本的 Chrome 或 Firefox,因为这些服务器已正确实现 TLS 协议版本协商。在 Firefox 37(2015 年 3 月)和 Chrome 50(2016 年 4 月)中,已移除对 TLS 版本回退的支持。
    • 使用并非在 HttpsURLConnection 基础上构建的第三方 HTTP 内容库。如果您使用第三方内容库,我们建议您停用协议回退。例如,在 3.6 及之前的 OkHttp 版本中,您可能需要将 OkHttpClient 配置为仅使用 ConnectionSpec.MODERN_TLS。



    我的应用受到影响。现在该怎么办?
    如果您的应用依赖于 TLS 版本回退,则其 HTTPS 连接容易受到降级攻击。要修复此问题,您需要联系服务器运营商。如果暂时无法联系,则可采用一种权宜方法:您可以使用提供 TLS 版本回退的第三方 HTTP 内容库。请注意,使用此方法会降低应用的 TLS 安全性。要发现任何兼容性问题,请在 Android O Developer Preview 中测试您的应用。

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册账号  

    本版积分规则

    手机版|魔趣论坛 |

    我们旨在提供一个良好的手机玩家技术交流、资源分享社区,如果有涉及版权的资源,请联系管理员并提供相应的版权证明,我们会进行相应处理。

    GMT+8, 2017-7-28 18:58 , Processed in 0.049994 second(s), 27 queries , Gzip On, Redis On.

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表