Вы используете небезопасную реализацию X509TrustManager.

Собственно, о чем это предупреждение?

Вы должны были быть связаны с этой страницей, которая объясняет, о чем идет речь. Короче говоря, Google сканирует приложения на наличие людей, которые облажались с SSL, например, слепо принимая все сертификаты как действительные.

Я не использую какие-либо действия, связанные с сетью, в своем приложении (это приложение, управляемое локальной базой данных), так почему это предупреждение появилось для моего приложения?

Потому что что-то еще в вашем APK сделало это. В случае этого разработчика это была библиотека.

Мое приложение было создано с использованием Appcelerator Titanium, и Google говорит, что эта реализация находится в ti.modules.titanium.network.NonValidatingTrustManager;. Я уверен, что никогда не использовал такой класс в своем коде.

Возможно, вы не использовали его напрямую. Тем не менее, что-то еще использует его. Или, возможно, он существует, потому что он является частью общей структуры Titanium и остается в вашем APK.

Appcelerator отслеживает эту проблему в JIRA здесь: https://jira.appcelerator.org/browse/TIMOB-20431

Мы также разместили сообщение в блоге с информацией здесь: http://www.appcelerator.com/blog/2016/02/google-security-alert-unsafe-implementation-of-the-interface-x509trustmanager/

В электронном письме говорится о крайнем сроке 17 мая для недавно отправленных (!) приложений и обновлений. Мы подготовим исправление и инструкции вовремя.

Прочитайте это: http://docs.appcelerator.com/platform/latest/#!/guide/SSL_Certificate_Store_Support_for_HTTP_Clients

Все дело в том, что Google подталкивает всех к использованию https. Если вы используете в своем приложении объект Titanium.Network.createHTTPClient, вам придется реализовать это следующим образом:

var certificateStore = require('ti.certificatestore').

Модуль можно найти здесь: https://github.com/appcelerator-modules/ti.certificatestore< /а>

Проблема не связана с кодом js. Он находится внутри Titanium sdk, и неважно, используете вы какие-то функции или нет. Я думаю, что возможное решение — переписать класс https://github.com/appcelerator/titanium_mobile/blob/bc85170157d3bebc5de1d61a9fe6e34bce84a8c9/android/modules/network/src/java/ti/modules/titanium/network/NonValidatingTrustManager.java

Мы должны создать безопасную реализацию X509TrustManager

Я только что получил такое же сообщение в моих приложениях. Тот же модуль, указанный в качестве OP.

ti.modules.titanium.network.NonValidatingTrustManager;

Несколько моментов из моего исследования на данный момент:

• http://docs.appcelerator.com/platform/latest/#!/guide/SSL_Certificate_Store_Support_for_HTTP_Clients does discuss the problem and provide examples for iOS and Android. However:
  • the examples are different for each OS and require creating or downloading modules (the Android one is a couple years old now)
  • в документах конкретно говорится, что эти методы больше не поддерживаются и

Вместо этого следует использовать свойство securityManager объекта HTTPClient для реализации поддержки хранилищ SSL-сертификатов.

• в документах SecurityManagerProtocol, к сожалению, нет примеров. Несколько ссылок, которые я смог найти (http://docs.appcelerator.com/platform/latest/#!/api/Modules.Https) требуют использования modules.https, который является только ПЛАТНЫМ модулем.

• У меня остается вопрос: если Google отклоняет все приложения Appcelerator с этой конкретной проблемой, и только разработчики с платными подписками получают официально поддерживаемое решение, означает ли это, что «версия сообщества» Appcelerator официально несовместима с Google Play? Планирует ли Appcelerator официально поддерживать HTTPS для членов своего сообщества?

Кто-нибудь из Appcelerator хочет прокомментировать, пожалуйста? Спасибо, Дэвид.