Bảo vệ ứng dụng của bạn đúng cách - cách thực hiện của google

Bảo mật ứng dụng, vi phạm bản quyền và phòng ngừa tất cả là những chủ đề nóng gần đây, với lý do chính đáng. Nếu không có một thị trường ứng dụng mạnh mẽ, hàng trăm ngàn kích hoạt mới mỗi tháng sẽ không thể duy trì được và một thị trường mạnh mẽ là không thể nếu không có sự hỗ trợ của các nhà phát triển. Chúng tôi đã thấy rằng Android có một giải pháp tích hợp để ngăn chặn vi phạm bản quyền và chúng tôi cũng đã thấy việc di chuyển xung quanh nó dễ dàng như thế nào nếu bạn quyết tâm và liệu chương trình này có ở dạng cơ bản không. Google gợi ý rằng họ có thêm một số thông tin để chia sẻ về toàn bộ chủ đề và đúng với lời họ đã làm như vậy. Sau giờ nghỉ, chúng ta hãy xem các phương pháp của Googler để cung cấp cách thức an toàn, bảo mật và thân thiện với người dùng để bảo vệ các ứng dụng.

Dịch vụ cấp phép thị trường Android và Thư viện xác minh giấy phép là những công cụ mạnh mẽ để các nhà phát triển cố gắng tránh vi phạm bản quyền ứng dụng. Vấn đề, như đã được demo gần đây, là ngoài hộp không khó để vượt qua. Vì mọi người là con người và nhiều người sẽ dành nhiều thời gian hơn để bẻ khóa ứng dụng 99 cent từ Thị trường, Trevor Johns (một trong những kỹ sư lập trình của Android) đã đưa ra một bộ mẹo hữu ích để tăng cường các công cụ được cung cấp, và làm cho các biện pháp chống vi phạm bản quyền hoạt động tốt hơn.

Bốn lĩnh vực chính là:

Mã Obfuscation

Mã obfuscation là một thủ thuật được các nhà phát triển sử dụng để thay đổi mã nguồn, làm cho các hàm, gói, lớp và biến đã biết rất khó theo dõi bằng cách cung cấp bí danh cho mỗi. Lấy hàm tưởng tượng này làm ví dụ - onRedraw (). Mỗi nơi bạn sử dụng hàm trong mã nguồn, nó ở ngay đó, dễ đọc và có thể khai thác. Một obfuscator mã sẽ thay thế chức năng có thể đọc được của con người bằng một bí danh được tạo - wy23 () là một ví dụ tốt. Một cái nhìn nhanh (hoặc một công cụ tự động) tìm kiếm các chức năng sẽ không hoạt động, vì phải mất một số công việc nghiêm túc để xem chính xác ý nghĩa của wy23 (). Có sẵn mã Java thương mại obfyousk8tor (ha!) Và Trevor đề xuất ProGuard và lên kế hoạch cho một bài viết trong tương lai trên Blog của Nhà phát triển Android về làm việc với ProGuard.

Sửa đổi thư viện giấy phép

Google khuyến nghị các nhà phát triển thay đổi nguồn của các thư viện giấy phép được cung cấp càng nhiều càng tốt trong khi vẫn giữ nguyên chức năng ban đầu. Đây là một trường hợp trong đó đường dẫn đi là không quan trọng, miễn là đến đích. Các nhà phát triển có thể chôn hàm trong các câu lệnh if / then, vòng lặp, thậm chí chuyển toàn bộ thư viện thành khối mã riêng của họ.

Để tiến thêm một bước, các nhà phát triển được khuyến khích sử dụng kiểm tra băm và các phương thức mã hóa khác để tạo các hằng số mới và thay đổi mã để tìm các hằng số mới thay vì sử dụng các mã do Google cung cấp trong mã ví dụ. Hãy chắc chắn nhấn vào liên kết nguồn để xem một ví dụ tuyệt vời ngay từ Google cho thấy cách thực hiện việc này. Và đừng quên làm xáo trộn mã ở đây!

Làm cho ứng dụng của bạn chống lại sự giả mạo

Cái này đơn giản. Đối với một tên trộm hacker để xóa giấy phép khỏi ứng dụng của bạn, anh ta hoặc cô ta phải đảo ngược kỹ sư và xây dựng lại ứng dụng. Sử dụng kiểm tra CRC để ngăn chặn điều này. Google cũng có một công cụ tiện dụng khác cho khu vực này - xác minh rằng Android Market là nguồn cài đặt ứng dụng của bạn và nếu không, đừng để nó chạy. Một lần nữa, có một ví dụ tiện lợi về điều này tại liên kết nguồn.

Di chuyển xác minh giấy phép đến một máy chủ từ xa

Nếu ứng dụng của bạn sử dụng các thành phần trực tuyến, Google khuyên bạn nên chuyển thông tin và phản hồi LVL ra khỏi ứng dụng và vào máy chủ của bạn. Khi người dùng sử dụng ứng dụng, máy chủ của bạn sẽ kiểm tra với Google và nếu mọi thứ không nghiêm túc hơn, sẽ không có nội dung nào được phục vụ. Mặc dù đơn giản, nhưng cũng rất hiệu quả để khắc phục điều này, ai đó sẽ phải thay đổi không chỉ ứng dụng mà cả nội dung trên máy chủ của bạn. Hãy nhớ rằng, dữ liệu cục bộ không bao giờ an toàn, nhưng một máy chủ được bảo trì và bảo mật đúng cách là một điều khá khó khăn để bẻ khóa.

Cuối cùng, Google ghi nhớ chúng tôi - những người dùng cuối và khuyến nghị rằng các thủ thuật này được sử dụng theo cách minh bạch và thân thiện với người dùng. Nếu bạn là nhà phát triển ứng dụng quan tâm đến tính toàn vẹn và ngăn chặn vi phạm bản quyền của ứng dụng của bạn (và bạn nên như vậy!) Hãy chắc chắn kiểm tra liên kết nguồn. Nó nhận được tất cả geeky và mờ và đặt nó ra cho bạn. Đối với phần còn lại của chúng tôi, đây là một lời nhắc nhở nhiều hơn về cách mà Goggle yêu nó, và chúng tôi có thể cảm thấy tốt khi biết rằng G lớn đang làm những gì có thể để giúp đỡ.