Codename one應用程序網絡安全和其他問題

Question

我已經使用代碼名稱一框架實施了一個企業應用程序，但應用程序正在接受來自可信CA的自簽名證書，這被稱爲證書鎖定漏洞。

那麼，如何禁止應用程序接受所有證書，如 org.apache.http.conn.ssl.AllowAllHostnameVerifier或SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER？

而且我怎樣才能刪除權限WRITE_EXTERNAL_STORAGE，我也觀察到有一個未知的權限是否有com.google.android.c2dm.permission.RECEIVE。我該如何刪除它？

此外，如何禁用代碼名稱爲android的可調試標誌以及如何保護二進制文件，以便沒有人可以反向工程。

感謝，

Answer 1

代號一個應用程序在默認情況下模糊和困難，因爲我們沒有使用XML格式，是相當容易的逆向工程逆向工程比典型的本地應用程序。除非您在設置中明確聲明或未設置簽名證書，否則默認情況下會生成的發行版本的Debuggable標誌也被禁用。

WRITE_EXTERNAL_STORAGE是我們默認添加的特殊情況許可，用於與舊版Android的兼容。您可以使用生成提示android.blockExternalStoragePermission=false來禁用它。根據developer guide中描述的API使用情況添加其他權限。

證書鎖定（或SSL鎖定）已實施，因爲問題最初是要求see this post。