1

ここで質問するべきか、セキュリティスタックオーバーフローページで質問するべきかはわかりませんでしたが、誰かがこれについて素晴らしい答えを持っていると確信しています.

を使用するAndroidアプリを作成していFabric.io Twitter packageます。TWITTER_KEYこれを使用するにはとTWITTER_SECRETコードが必要です。パッケージが追加されたときにそれが言及されているため、それらを非表示にしようとしています。

現時点でSharedPreferenceは、スプラッシュ スクリーン アクティビティの開始時に資格情報を次のように保存しています。

PreferenceManager.getDefaultSharedPreferences(getApplicationContext()).edit().putString("TWITTER_KEY", "xxxxxxxxxxxxxxxxxxxxxxx").commit();

後で、Twitterパッケージを初期化するために、次のように受け取ります。

TwitterAuthConfig authConfig = new TwitterAuthConfig(PreferenceManager.getDefaultSharedPreferences(getApplicationContext()).getString("TWITTER_KEY", "defaultStringIfNothingFound")

コードでも同じことをしTWITTER_SECRETます。

2 つの質問があります。

  1. 私のキーにアクセスできる場合、人々は何を達成できますか?
  2. これは、他のアプリが私のキーにアクセスできないほど安全ですか?
  3. これはアプリの逆コンパイルに十分安全ですか?

ご協力いただきありがとうございます!

4

1 に答える 1

1

私のキーにアクセスできる場合、人々は何を達成できますか?

APIがわからないのでお答えできません。

これは、他のアプリが私のキーにアクセスできないほど安全ですか?

はい、他のアプリがルート権限を持っていない限り。

これはアプリの逆コンパイルに十分安全ですか?

いいえ。しかし、それについてできることはほとんどありません。キーを見つけにくくすることはできますが、キーが何らかの方法でアプリに埋め込まれている場合、100% の解決策はありません。キーを回復するためにアプリが実行できることはすべて、攻撃者によって実行される可能性もあります。

ところで。なぜキーを共有設定に保存するのですか?

于 2015-10-21T11:14:30.207 に答える