Closed GoogleCodeExporter closed 9 years ago
不会提示,本App主要目标是确保可连通,若有更高的安全需��
�,建议使用 Connectbot。
Original comment by max.c...@gmail.com
on 7 Jul 2011 at 3:22
谢谢解答,我知道您有自己的设计理念,不过我还是争论一��
�:
也许一般情况下不需要那么高的安全性,只是需要警示用户��
�要被小伎俩蒙蔽,比如在starbucks里面有人拦截你发了新的key�
��这个时候提示一下,说你常用的server的key变了,需要注意攻
击。
这个应该属于一个比较常用的攻击形式,虽然目标不是做到10
0%安全,这个应该可以挡住80%的攻击,太高端的攻击在咖啡馆
这种比较常见的上网场合不一定那么容易实施。
有没有可能在配置文件中存储key,然后新收到的key和现有的ke
y比较一下。虽然这个无法防范本地替换文件,但是相对来说�
��安全一些。
谢谢!
Original comment by sherlockmao
on 7 Jul 2011 at 3:58
我同意你的观点,因此建议如果有更高的安全要求可以直接��
�用本项目的父项目
Connectbot,它已经实现了你提到的这些需求。
实际上只有极少数的用户理解什么是证书,什么是中间人攻��
�。而在保证连通性的前提下,Android
上所有的关键应用对于敏感数据都采用的是 https
的通信方式,因此即使被中间人攻击也不会造成太大的问题��
�
当然了,本项目是一个开源项目,如果有兴趣的话,欢迎提��
�相关的 patch
来实现有关警告证书变更的功能。我们很乐意将任何有效的��
�码合并到本项目中。
Original comment by max.c...@gmail.com
on 7 Jul 2011 at 4:13
嗯,好的,我了解了,你说的对。
SSHTunnel比ConnectBot明晰很多,非常赞的项目,所以还是继续用S
SHTunnel。说了我在android开发方面是新手,我尝试改一下,测��
�成功了就发patch。
Original comment by sherlockmao
on 7 Jul 2011 at 4:23
Original issue reported on code.google.com by
sherlockmao
on 7 Jul 2011 at 3:19