Android 应用签名对抗黑客
我有一个安全问题。 将应用程序的签名作为标题中的字符串发送到后端服务器是否安全? 我是说我有没有暴露出什么关键的东西 我们正在努力抵御黑客和黑客,他们每次更新都会不断破解我们的应用程序 编辑: 以下是更多信息: 首先,我们获取发布签名字符串并将其放置在后端服务器中。然后,对于应用程序发出的每个REST请求,我们从packageManager检索当前签名,并将标题中的值发送到后端服务器。将在我们检索到的当前签名和我们保存在后端服务器中的签名之间进行匹配检查。如果成功,请求返回ok,如果失败,我们返回错误。Android 应用签名对抗黑客,android,android-security,Android,Android Security,我有一个安全问题。 将应用程序的签名作为标题中的字符串发送到后端服务器是否安全? 我是说我有没有暴露出什么关键的东西 我们正在努力抵御黑客和黑客,他们每次更新都会不断破解我们的应用程序 编辑: 以下是更多信息: 首先,我们获取发布签名字符串并将其放置在后端服务器中。然后,对于应用程序发出的每个REST请求,我们从packageManager检索当前签名,并将标题中的值发送到后端服务器。将在我们检索到的当前签名和我们保存在后端服务器中的签名之间进行匹配检查。如果成功,请求返回ok,如果失败,我们返
我们在所有REST调用中都使用HTTPs。是什么阻止黑客发送相同的签名?这在很大程度上取决于您的后端体系结构和安全模型。您能提供更多信息吗?@Henry您认为他们可以获得原始签名,然后在标题中使用该签名是正确的。这不是一个“气密”的解决方案。只要他们不认识到这实际上是在做:)混淆方法名和头可能会有帮助。但是是的,他们基本上可以获得原始签名并使用它。LawrenceChoy,所有REST请求都是通过HTTPS完成的。我们有一个完整的团队致力于保护后端服务器,因此我认为突破这一点将是非常困难的。我有什么具体的问题要问他们吗?为什么需要发送应用程序签名?如果有人开发具有相同签名的应用程序并从您的应用程序访问数据,则可能会产生更大的问题。我们的想法是将应用程序的原始发布签名与驻留在后端服务器中的签名相匹配。匹配将与应用程序发出的每个REST请求一起进行。如果黑客以某种方式更改代码,他需要退出应用程序。但这次签名会有所不同,因为黑客没有我们的密钥。因此,当我们现在匹配签名时,它们将不匹配,这表明应用程序可能已被破解。这就是我的想法。。。只有通过嗅探通信才能获得签名否?我们始终使用HTTPs。是什么阻止黑客发送相同的签名?这在很大程度上取决于您的后端架构和安全模型。您能提供更多信息吗?@Henry您认为他们可以获得原始签名,然后在标题中使用该签名是正确的。这不是一个“气密”的解决方案。只要他们不认识到这实际上是在做:)混淆方法名和头可能会有帮助。但是是的,他们基本上可以获得原始签名并使用它。LawrenceChoy,所有REST请求都是通过HTTPS完成的。我们有一个完整的团队致力于保护后端服务器,因此我认为突破这一点将是非常困难的。我有什么具体的问题要问他们吗?为什么需要发送应用程序签名?如果有人开发具有相同签名的应用程序并从您的应用程序访问数据,则可能会产生更大的问题。我们的想法是将应用程序的原始发布签名与驻留在后端服务器中的签名相匹配。匹配将与应用程序发出的每个REST请求一起进行。如果黑客以某种方式更改代码,他需要退出应用程序。但这次签名会有所不同,因为黑客没有我们的密钥。因此,当我们现在匹配签名时,它们将不匹配,这表明应用程序可能已被破解。这就是我的想法。。。只有通过嗅探通信才能获得签名否?我们始终使用HTTPs。