Az alkalmazások megfelelő biztosítása - a google útmutató

Az alkalmazások biztonsága, a kalózkodás és a megelőzés mind a közelmúltban forró témák, jó okkal. Robusztus alkalmazáspiac nélkül, havonta új aktiválások százezrei nem lesznek fenntarthatók, és a robusztus piac a fejlesztők támogatása nélkül nem lehetséges. Láttuk, hogy az Androidnak beépített megoldása van a kalózkodás megakadályozására, és azt is láttuk, hogy milyen könnyű megkerülni, ha eltökélt vagy, és ha a rendszer alapvető formájában marad. A Google arra utalt, hogy van még valami információ, amelyet megoszthatnak az egész témával kapcsolatban, és őszinte szavaikhoz igazuk. A szünet után vessünk egy pillantást egy Google-módszerre, amely biztonságos és felhasználóbarát módszert kínál az alkalmazások védelmére.

Az Android Market licencszolgáltatása és a licenc-ellenőrzési könyvtár hatékony eszközök a fejlesztők számára, hogy megkíséreljék megkerülni az alkalmazáskalózkodást. A probléma, amint azt a közelmúltban bemutatták, az, hogy a dobozból nem nagyon nehéz megkerülni. Mivel az emberek emberek, és sokkal több időt töltenek el, mint amennyit érdemes kihúzni egy 99 centes alkalmazásból a piacon, Trevor Johns (az Android egyik fejlesztői programmérnöke) praktikus tippeket fogalmazott meg a mellékelt eszközök megerősítésére, és a kalózkodás elleni intézkedések jobb működését.

A négy kulcsterület a következő:

Kód-összeomlás

A kódmegtakarítás egy olyan trükk, amelyet a fejlesztők használnak, hogy megváltoztassák a forráskódot, és az ismert funkciókat, csomagokat, osztályokat és változókat nagyon nehéz felfedezni, mindegyik álnév megadásával. Vegyük ezt a képzeletbeli funkciót például - onRedraw (). Minden olyan helyen, ahol a funkciót használja a forráskódban, ott van, könnyen olvasható és esetleg kihasználható. A kódmegtakarító az emberi olvashatóságot szolgáló funkciót helyettesíti egy generált álnévvel - a wy23 () jó példa. Egy gyors pillantás (vagy automatizált eszköz), amely a funkciókat keresi, nem fog működni, mivel néhány komoly ásáshoz szükségessé válik, hogy pontosan megtudja, mit jelent a wy23 (). Van elérhető kereskedelmi obfyousk8tors (ha!) Java-kód, és Trevor a ProGuard-ot ajánlja, és egy jövőbeli cikket tervez az Android-fejlesztők blogjában a ProGuard-nal való együttműködésről.

A licenc könyvtár módosítása

A Google azt javasolja, hogy a fejlesztők a lehető legnagyobb mértékben változtassák meg a mellékelt licenckönyvtárak forrását, miközben megőrzik az eredeti funkciót. Ez az egyik eset, amikor a megtett út nem fontos, mindaddig, amíg a célállomást el nem érik. A fejlesztõk akkor temethetik el a funkciókat, ha / akkor utasítások, hurkok, akár a teljes könyvtárat saját kódblokkba mûvítik.

A lépés továbblépésére a fejlesztőket arra ösztönzik, hogy hash-ellenőrzéseket és más titkosítási módszereket használnak új állandók létrehozására, és változtassák meg a kódot az új állandók keresésére, ahelyett, hogy a példakódban a Google által megadottakat használnák. Feltétlenül érintse meg a forrás linket, hogy közvetlenül a Google-tól egy nagyszerű példát kapjon, amely megmutatja, hogyan lehet ezt megtenni. És ne felejtse el itt is eltakarítani a kódot!

Tegye alkalmazását illetéktelenvé

Ez egyszerű. Ha egy hacker- tolvaj eltávolíthatja az engedélyt az alkalmazásból, akkor vissza kell állítania a mérnököt és újra kell telepítenie az alkalmazást. Használjon CRC ellenőrzéseket ennek megelőzésére. A Google-nak van egy másik praktikus eszköze erre a területre is - ellenőrizze, hogy az Android Market volt-e az alkalmazás telepítési forrása, és ha nem, akkor ne hagyja futtatni. Itt is egy remek példa a forrás linkre.

Helyezze át a licenc ellenőrzését egy távoli kiszolgálóra

Ha az alkalmazás online összetevőket használ, a Google azt ajánlja, hogy a LVL-információkat és válaszokat helyezze át az alkalmazásból és tovább a szerverre. Amikor a felhasználó az alkalmazást használja, a szerver ellenőrzi a Google-t, és ha minden nem kosher, akkor nem jelenik meg tartalom. Bár egyszerű, ez is nagyon hatékony, hogy megkerülje ezt, valakinek nemcsak az alkalmazást, hanem a szerver tartalmát is meg kell változtatnia. Ne felejtse el, hogy a helyi adatok soha nem biztonságosak, de a megfelelően karbantartott és biztonságos kiszolgáló elég kemény dió a megtöréshez.

Végül a Google emlékszik ránk - a végfelhasználókra, és azt ajánlja, hogy ezeket a trükköket átlátható és felhasználóbarát módon használják fel. Ha olyan alkalmazásfejlesztő vagy, akit érdekli az alkalmazás integritása és a kalózkodás megelőzése (és ennek kell lennie!), Ne felejtse el ellenőrizni a forrás linket. Minden geeky és fuzzy lesz, és mindent elkészít neked. A többiek számára ez inkább emlékeztető arra, hogy Goggle milyen szereti a fejlesztőit, és jól érezzük magunkat, tudva, hogy a nagy G mindent megtesz, hogy segítsen.