<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">One thing mentioned in the "Most Dangerous Code in the World" paper (and I've verified experimentally) is that JSSE doesn't validate the hostname against the X.509 certificate, so if one uses JSSE naively, one is open to man-in-the-middle attacks.  The best solution I've been able to figure out is to "borrow" the hostname validation code from Apache HttpComponents.  But I'm curious what other people who use JSSE are doing, and if there's a "best practice" for doing this.<div><br></div><div>Apologies if this isn't on-topic for this list; I know you guys mostly discuss higher-level issues, rather than APIs.  I already tried asking on Stack Overflow, and they said it was off-topic for Stack Overflow:</div><div><br></div><div><a href="http://stackoverflow.com/questions/18139448/how-should-i-do-hostname-validation-when-using-jsse">http://stackoverflow.com/questions/18139448/how-should-i-do-hostname-validation-when-using-jsse</a></div><div><br></div><div>So, a meta-question would be: where is the right place to ask this question?  I haven't been able to find a JSSE-specific mailing list.</div><div><br></div><div>Thanks,</div><div><br></div><div>--Patrick</div><div><br></div></body></html>