Предупреждение в Google Play: обработчик WebViewClient.onReceivedSslError

Недавно я получил электронное письмо от Google со следующим вопросом: "Предупреждение в Google Play: уязвимость обработчика ошибок SSL". В этом письме Google объясняет, что у моего приложения есть [ "небезопасная реализация обработчика WebViewClient. onReceivedSslError. В частности, реализация игнорирует все ошибки проверки сертификата SSL, делая ваше приложение уязвимым для человека в -средняя атака. Злоумышленник может изменить затронутый контент WebView, прочитать переданные данные (например, учетные данные для входа) и выполнить код внутри приложения с помощью JavaScript." ] ....................

Я использую в своем коде:

    webView.setWebViewClient(new WebViewClient() {

        @Override
        public void onReceivedError(WebView view, int errorCode, String description, String failingUrl) {}

        @Override
        public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
            handler.proceed();
        }

        @Override
        public boolean shouldOverrideUrlLoading(WebView view, String url) {
            return super.shouldOverrideUrlLoading(view, url);
        }

        @Override
        public void onPageFinished(WebView view, String url) {
            super.onPageFinished(view, url);
            // My code
        }
    });

//Мой код

webview_ClientPost(webView, "https://secure.payu.in/_payment", mapParams.entrySet());

Почему Google играет с отправкой этого предупреждения относительно SSL? Является ли это проблемой моего кода или проблемой Payumoney?

ОТВЕТЫ

Ответ 1

Я надеюсь, что не слишком поздно для этого.. это предупреждение о том, что вы должны уведомить пользователя о том, что пользователь перешел на страницу с недействительным сертификатом, вы не должны использовать его напрямую.

Вы можете внедрить диалоговое окно предупреждения примерно так:

@Override
public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) {
    final AlertDialog.Builder builder = new AlertDialog.Builder(this);
    builder.setMessage(R.string.notification_error_ssl_cert_invalid);
    builder.setPositiveButton("continue", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.proceed();
        }
    });
    builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.cancel();
        }
    });
    final AlertDialog dialog = builder.create();
    dialog.show();
}

Это было взято из ответов sakiM по этой ссылке: Webview избегает предупреждения безопасности от google play при реализации onReceivedSslError

Ответ 2

Проблема в коде. Когда вы вызываете handler.proceed(); таким образом, он эффективно удаляет всю безопасность из вашего соединения.

Вы должны удалить свой метод onReceivedSslError. По умолчанию реализация отклонит небезопасные соединения.