防范中间人

[GoogleCodeExporter]

如果在starbucks之类的地方访问自己的主机，对于putty之类的来
说，会对新key串提示，sshtunnel貌似不会啊

Original issue reported on code.google.com by sherlockmao on 7 Jul 2011 at 3:19

[GoogleCodeExporter]

不会提示，本App主要目标是确保可连通，若有更高的安全需��
�，建议使用 Connectbot。

Original comment by max.c...@gmail.com on 7 Jul 2011 at 3:22

• Changed state: Done

[GoogleCodeExporter]

谢谢解答，我知道您有自己的设计理念，不过我还是争论一��
�：

也许一般情况下不需要那么高的安全性，只是需要警示用户��
�要被小伎俩蒙蔽，比如在starbucks里面有人拦截你发了新的key�
��这个时候提示一下，说你常用的server的key变了，需要注意攻
击。

这个应该属于一个比较常用的攻击形式，虽然目标不是做到10
0%安全，这个应该可以挡住80%的攻击，太高端的攻击在咖啡馆
这种比较常见的上网场合不一定那么容易实施。

有没有可能在配置文件中存储key，然后新收到的key和现有的ke
y比较一下。虽然这个无法防范本地替换文件，但是相对来说�
��安全一些。

谢谢！

Original comment by sherlockmao on 7 Jul 2011 at 3:58

[GoogleCodeExporter]

我同意你的观点，因此建议如果有更高的安全要求可以直接��
�用本项目的父项目 
Connectbot，它已经实现了你提到的这些需求。

实际上只有极少数的用户理解什么是证书，什么是中间人攻��
�。而在保证连通性的前提下，Android 
上所有的关键应用对于敏感数据都采用的是 https 
的通信方式，因此即使被中间人攻击也不会造成太大的问题��
�

当然了，本项目是一个开源项目，如果有兴趣的话，欢迎提��
�相关的 patch 
来实现有关警告证书变更的功能。我们很乐意将任何有效的��
�码合并到本项目中。

Original comment by max.c...@gmail.com on 7 Jul 2011 at 4:13

[GoogleCodeExporter]

嗯，好的，我了解了，你说的对。

SSHTunnel比ConnectBot明晰很多，非常赞的项目，所以还是继续用S
SHTunnel。说了我在android开发方面是新手，我尝试改一下，测��
�成功了就发patch。

Original comment by sherlockmao on 7 Jul 2011 at 4:23