안드로이드 개발자는 프로젝트의 앱이 공개 키를 저장에 대해 다음 말한다 :Android 인앱 보안 권장 사항 - 이것이 의미하는 바는 무엇입니까?
보안 권장 사항 : 매우 에서 제공하는대로하지 하드 코딩 정확한 공개 라이센스 키 문자열 값을하는 것이 좋습니다 구글 플레이. 대신 런타임시 전체 공용 라이센스 키 문자열을 하위 문자열에서 구성하거나 암호화 된 스토어에서 검색하여 생성자에 전달할 수 있습니다. 이 방법을 사용하면 악의적 인 제 3자가 APK 파일의 라이선스 키 문자열을 수정하기가 더 어려워집니다 ( ).
이 내용 자체적으로 설명해야합니까? 나는 그들이 내가 원하는 것을 이해하지 못한다.
그들은 예제의 주석에서 똑같은 말을하고 있지만 실제로 지침에 따라 의미가 무엇인지를 보여주지는 못합니다. 여기의 말씀입니다 :
을 대신 바로 여기에 * 프로그램 에 포함 된 전체 리터럴 문자열을 저장하는, 다른 문자열 예를 들어, 조각 또는 * 사용 비트 조작 (에서 런타임에 키를 XOR을 구성) * 실제 키를 숨 깁니다. 키 자체는 비밀 정보가 아니지만 *은 공격자가 공개 키를 자신의 *으로 바꾼 다음 서버에서 가짜 메시지를 쉽게 만들 수 있도록하려고합니다.
정확히 어떻게 사람이이 작업을 수행 할 수 있습니까?
Google은 "대신 부분 문자열에서 런타임에 전체 공용 라이센스 키 문자열을 구성하거나 암호화 된 저장소에서 검색 할 수 있습니다" "암호화 된 저장소에서 검색"서버에서 가져 오는 중입니까? 설명 된대로 문자열에서 런타임시이를 구성하는 안전한 방법은 무엇입니까? –
모든 트랜잭션 유효성 검사 논리를 서버로 이동하고 HTTPS를 사용하여 연결합니다. – skygeek
그리고 문자열 변환을 위해 자신의 논리를 구현하거나 예를 들어 업데이트 된 답변을 참조하십시오. – skygeek