Pravilni način osiguranja aplikacija - upute za upotrebu Googlea

Sigurnost aplikacija, piratstvo i prevencija sve su vruće teme u posljednje vrijeme, s dobrim razlogom. Bez robusnog tržišta aplikacija, stotine tisuća novih aktivacija svakog mjeseca neće biti održivo, a robusno tržište nije moguće bez podrške programera. Vidjeli smo da Android ima ugrađeno rješenje za sprečavanje piratstva, a također smo vidjeli koliko je lako zaobići ga ako ste odlučni i je li shema u svom osnovnom obliku. Google je nagovijestio da imaju još nekih informacija koje bi mogli podijeliti o cijeloj temi i istinito njihovoj riječi i to su učinili. Nakon odmora, pogledajmo Googlerove metode zaštite sigurnih i sigurnih načina za zaštitu aplikacija.

Usluga licenciranja Android Market-a i Knjižnica za provjeru licenci snažni su alati za programere koji pokušavaju zaobići piratstvo aplikacija. Kao što je nedavno dokazano, problem je što izvan okvira nije teško zaobići ga. Budući da su ljudi ljudi i mnogi će potrošiti više vremena nego što je vrijedno za probijanje 99-postotne aplikacije s tržišta, Trevor Johns (jedan od Androidovih razvojnih programskih inženjera) iznio je priručan skup savjeta za jačanje isporučenih alata, i poboljšati rad mjera protiv piraterije.

Četiri ključna područja su:

Zamagljivanje koda

Obfuscation koda je trik koji koriste programeri koji mijenjaju izvorni kôd, čineći tako poznate funkcije, pakete, klase i varijable vrlo teškim za pronalaženje pseudonima. Uzmimo za primjer ovu zamišljenu funkciju - onRedraw (). Svako mjesto gdje koristite funkciju u izvornom kodu, nalazi se tamo, lako se čita i možda iskorištava. Obfuscator koda zamijenit će ljudsku čitljivu funkciju generiranim pseudonimom - wy23 () je dobar primjer. Brzi pogled (ili automatizirani alat) u potrazi za funkcijama neće raditi, jer je potrebno ozbiljno kopanje da biste vidjeli što zapravo znači wy23 (). Na raspolaganju su komercijalni Java kod obfyousk8tors (ha!), A Trevor preporučuje ProGuard i planira budući članak na blogu Android programera o radu s ProGuardom.

Izmjena knjižnice licenci

Google preporučuje programerima da promijene izvor isporučenih biblioteka licenci koliko god je to moguće, zadržavajući izvornu funkciju. Ovo je jedan slučaj kada je put koji je prešao nije bitan, sve dok se ne dosegne odredište. Razvojni programeri mogu sahraniti funkciju ako se izjave, zatim petljaju, čak i cijelu biblioteku premještaju u vlastiti blok koda.

Da biste otišli korak dalje, programere se potiče da koriste hash provjere i druge metode šifriranja za generiranje novih konstanti i mijenjaju kôd da bi tražili nove konstante umjesto da koriste one koje je Google dao u primjeru koda. Svakako prijeđite na izvornu vezu da biste od Googlea vidjeli sjajan primjer koji pokazuje kako se to može učiniti. I nemojte zaboraviti ni ovdje zamijeniti kôd!

Neka vaša aplikacija bude nepromočiva

Ovaj je jednostavan. Da bi lopov haker mogao ukloniti licencu iz vaše prijave, mora izvršiti obrnuti inženjer i obnoviti aplikaciju. Upotrijebite provjere CRC-a da biste to spriječili. Google ima i drugi zgodan alat za ovo područje - provjerite je li Android Market bio instalacijski izvor vaše aplikacije, a ako ne, nemojte dopustiti da se pokrene. Opet, na izvornoj poveznici postoji sjajan primjer toga.

Premjestite provjeru licence na udaljeni poslužitelj

Ako vaša aplikacija koristi mrežne komponente, Google preporučuje da podatke i odgovor LVL-a prebacite iz aplikacije i na svoj poslužitelj. Kad korisnik koristi aplikaciju, vaš poslužitelj provjerava s Googleom, a ako sve nije košer, ne prikazuje se sadržaj. Iako je jednostavno, vrlo je učinkovito i zaobići to, netko će morati promijeniti ne samo aplikaciju, već i sadržaj na vašem poslužitelju. Zapamtite, lokalni podaci nikad nisu sigurni, ali pravilno održavan i zaštićen poslužitelj prilično je tvrd orah.

I na kraju, Google pamti nas - krajnje korisnike i preporučuje da se ovi trikovi koriste na način koji je transparentan i prilagođen korisnicima. Ako ste programer programa zainteresiran za sprječavanje integriteta i piratstva vaše aplikacije (i trebali biste biti!), Provjerite vezu izvora. Sve je lukavo i nejasno i sve vam smeta. Za sve nas ovo je više podsjetnik na to kako Goggle voli vražje, i možemo se osjećati dobro znajući da veliki G čini ono što može pomoći.