Używamy okhttp w naszym projekcie Android, aby porozmawiać z naszym API; cała komunikacja jest szyfrowana za pomocą SSL/TLS, a nasze serwery mogą komunikować się z SPDY. Łączymy się również z numerem Google Play Services dla dostawcy topikowych lokalizacji i kilku innych funkcji.Czy powinniśmy używać dostawcy bezpieczeństwa google z OkHttp?
Częścią Usług Play, których obecnie nie używamy, jest ich security provider, która obiecuje ulepszyć stos SSL urządzenia, aby w jakiś sposób chronić się przed różnymi podatnościami. Jednak dokumenty są nieco niejasne, co do tego, co dostawca faktycznie ma ma i co do metod SSL wpływają na niego, a które nie (kilka przykładów każdego z nich jest dostarczanych, ale nie wyczerpująca lista).
Tak, myślę, że moje pytanie jest dwojaki:
Czy dynamiczny dostawca zabezpieczeń nawet pracować z okhttp, czy też okhttp polegać na niższym poziomie (lub wyższego poziomu) API, które nie są dotknięte instalujesz dostawcę?
Zakładając, że to działa, jakie są korzyści? Czy są jakieś korzyści związane z bezpieczeństwem, o które warto dbać? Czy rzeczywiście naprawi on awarię macierzystą związaną z ALPN w okhttp 2.2, jako nfuller hints it might?
Czy znalazłeś rozwiązanie? – rekire
@rekire, nie, nigdy nie zorientowaliśmy się dokładnie, co się dzieje, więc na razie to zostawiliśmy ... – mlc