1. Trang chủ
  2. Câu hỏi và trả lời
  3. Lưu trữ khóa API trong Android, có đủ cản trở không?

Lưu trữ khóa API trong Android, có đủ cản trở không?

2011-01-12 31 views
9

Tôi đang sử dụng API Dropbox. Trong ứng dụng mẫu, nó bao gồm những dòng này:Lưu trữ khóa API trong Android, có đủ cản trở không?

// Replace this with your consumer key and secret assigned by Dropbox. 
// Note that this is a really insecure way to do this, and you shouldn't 
// ship code which contains your key & secret in such an obvious way. 
// Obfuscation is good. 
final static private String CONSUMER_KEY = "PUT_YOUR_CONSUMER_KEY_HERE"; 
final static private String CONSUMER_SECRET = "PUT_YOUR_CONSUMER_SECRET_HERE";

Tôi cũng nhận thức của thần chú 'Bí mật không phải là an ninh', và hoang mang thực sự chỉ hơi làm tăng lượng nỗ lực cần thiết để trích xuất các phím. Tôi không đồng ý với tuyên bố của họ 'Obfustication là tốt'. Tôi nên làm gì để bảo vệ chìa khóa? Là obfustication tốt đủ, hoặc tôi nên xem xét một cái gì đó phức tạp hơn?

Nguồn

2011-01-12 fredley

+2

Vui lòng đọc thảo luận về chủ đề này tại đây: https://groups.google.com/d/topic/android-developers/quD5gYIZ4Ig/discussion –

Trả lời

5

Bạn không thể trợ giúp. Nếu người dùng (kẻ tấn công) có dữ liệu được bảo vệ và mã thực hiện việc không bảo vệ, người dùng cuối cùng cũng có thể truy cập vào dữ liệu. Nó đơn giản như vậy. Trình gỡ lỗi và điểm ngắt tại đúng thời điểm là tất cả những gì họ cần. Điều đó, và rất nhiều thời gian rảnh rỗi và quyết tâm.

Quyền riêng tư có đủ tốt cho mục đích của bạn hay không tùy thuộc vào chi tiết cụ thể của doanh nghiệp bạn. Nhưng nói chung trong thế giới di động, nếu khách hàng lo lắng về dữ liệu của họ bị đánh cắp, họ sẽ thực hiện các biện pháp kiểm soát mất cắp và mất cắp ở mức độ cao. Những thứ như xóa từ xa, khóa màn hình bắt buộc, v.v. Tôi không nghĩ là lập trình viên ứng dụng sao chép tất cả nội dung đó.

Nguồn

2011-01-12 17:50:52

2

Bảo mật không bao giờ có thể hoàn hảo, do đó bạn có thể quyết định số lượng công việc bạn muốn làm. Bạn có thể phá vỡ bí mật của người tiêu dùng thành nhiều chuỗi cho một thay đổi đơn giản cung cấp số lượng bảo mật bổ sung tối thiểu hoặc bạn có thể tạo thuật toán đại diện cho bí mật theo cách khác (bất kỳ thứ gì từ chèn ký tự không được sử dụng mọi dấu cách X trong chuỗi để sửa đổi từng ký tự, có lẽ dựa trên biểu diễn dạng số).

Bạn phải xem xét công việc so với lợi ích. Nếu đây là một ứng dụng mà bạn và một vài người bạn sẽ sử dụng thì có lẽ nó không quan trọng lắm. Nếu điều này sẽ là một ứng dụng được sử dụng bởi 10 triệu người, an ninh rõ ràng là một mối quan tâm.

Nguồn

2011-01-13 05:36:05

Các vấn đề liên quan

 Các vấn đề liên quan