Androidの開発者は、プロジェクトでのアプリの公開鍵を格納については、次の言葉:Androidアプリ内セキュリティの推奨 - これはどういう意味ですか?
セキュリティ勧告:非常 によって提供されるようにあなたがいない ハードコード正確なパブリックライセンスキーの文字列値を行うことをお勧めしますグーグルプレイ。代わりに、実行時に部分文字列からパブリックライセンスキー 文字列全体を作成するか、コンストラクタに渡す前に暗号化された ストアから取得することができます。この方法により、悪意のある第三者が APKファイルの公開鍵文字列 を変更するのが難しくなります。
これは自明ですか?彼らが私にしたいことを理解していない。
例のコメントでは同じことが言われていますが、実際には指示の意味を実証していません。代わりに、ちょうどここ *プログラムに組み込まれた全体のリテラル文字列を格納するので
、作品から、実行時にキーまたは *使用のビット操作いくつかの他の文字列と(例えば、XORを構築する:ここではそれが言うものです) *実際のキーを非表示にします。鍵自体は秘密情報ではありませんが、我々は *は攻撃者が公開鍵を自分自身の *に置き換えて、サーバからのメッセージを偽造しやすいようにしたいと考えています。
どのようにして人がこれを行うのですか?
Googleは、代わりに実行時に部分文字列からパブリックライセンスキー文字列全体を作成するか、暗号化されたストアから取得することができます。 " "暗号化されたストアから取得する "サーバーから取得していますか?そして、説明されているように、実行時に文字列からそれを構築する安全な方法は何ですか? –
すべてのトランザクション検証ロジックをサーバーに移動し、HTTPSを使用してサーバーに接続します。 – skygeek
と文字列変換のために、あなた自身のロジックを実装するか、または更新された答えを見る必要があります。 – skygeek