Sollte ich OAuth-Konsumentengeheimnis durch Android-App gespeicherte?

Meine Android-App enthält OAuth-Konsumentengeheimnis für die API von Twitter. Im Moment ist es in .properties Datei im Klartext, also dauert es null Aufwand für jemanden, der es in APK anschaut.

Soll ich Maßnahmen ergreifen, um es zu verdecken (wie, rot13 oder in verschleierten Java-Code gespeichert)? Oder sollte ich eigentlich etwas davon vermeiden, da es falsches Sicherheitsgefühl schaffen würde?

  • Wie kann ich eine Ansicht mit RelativeLayout zentrieren?
  • Wie kann ich auf den SMS-Speicher auf Android zugreifen?
  • Looping durch List android
  • Wie kann ich die .apk-Datei mit eclipse zipalignieren?
  • Android imageView: Einstellen von Drag & Pin-Zoom-Parametern
  • SetOnClickListener und setOnLongClickListener Aufruf bei Single-Button-Ausgabe
  • Wie verteilen die Leute OAuth in Android-Apps? Wie häufig ist es, dass das Geheimnis gestohlen und missbraucht wird?

  • Dynamisches Laden von Bildern R.Drawable mit Variable
  • Wie benutzt man layout_aspectRatio im PercentRelativeLayout?
  • Kontext will FLAG_ACTIVITY_NEW_TASK aber ich habe das Flag bereits gesetzt
  • LocationManager.getLastKnownLocation () return null
  • Verwenden von Proguard mit Android ohne Verschleierung
  • App wird unter Android Studio 2.0 nicht ausgeführt, nach dem Upgrade von 1.5
  • 3 Solutions collect form web for “Sollte ich OAuth-Konsumentengeheimnis durch Android-App gespeicherte?”

    Die wirkliche Frage ist, was macht ein Angreifer davon, es zu stehlen …

    Du solltest dein Bestes tun, um Geheimnisse zu schützen, aber am Ende kann ein hoch motivierter Hacker immer in einer installierten App kommen. So ist es der Wert des Geheimnisses und der Schwierigkeit der Extraktion.

    Der Wert des Client-Geheimnisses ist die Identifizierung der Anwendung. Es gibt keinen Zugriff auf Benutzerdaten. Jedoch, da Twitter die automatische Ausgabe von Anmeldeinformationen auf zuvor genehmigte Apps (ihre Anmeldung mit Twitter-Flow) unterstützt, kann ein Angreifer möglicherweise eine Web-App mit Ihrem Geheimnis erstellen und Benutzerdaten mit einem blinden Umleitungssteil stehlen.

    Das Problem mit der Implementierung von Twitter ist, dass sie den Entwickler nicht nach der Art der Anwendung fragen. Wenn sie es taten, hätten sie kein Geheimnis ausgegeben, und ich würde jeden, der eine Webanwendung baut, mit Ihren Kundenanmeldeinformationen blockieren und Daten von Nutzern stehlen, die es bereits genehmigt haben.

    Obfuscating ist eine Option, aber eine schwache. Das Verschieben des Geheimnisses zu einem Webserver, der als API-Proxy fungiert, ist ein anderer, aber das bewegt das Problem an anderer Stelle, denn jetzt muss sich deine App gegen den Proxy-Server authentifizieren. Allerdings kann dieses Muster vernünftigerweise sicher sein, wenn Sie Benutzer benötigen, um sich in Ihre Website einzuloggen (die über Webansichten, Twitter zum Anmelden) nutzen können. Auf diese Weise wird jemand, der versucht, deinen Proxy zu missbrauchen, ihre Benutzer brauchen, um Konten auf deinem Dienst zu eröffnen, was nicht sehr ansprechend ist.

    Kurz gesagt, gehen Sie vor und verschleiern es. Es tut nicht weh Betrachten Sie auch das Proxy-Muster. Und vielleicht lassen Twitter wissen, ihre Sicherheitsrichtlinien sind "nicht großartig".

    Ich würde diese Analyse definitiv von einem der OAuth-Autoren, Eran Hammer-Lahav, lesen, der einen anderen Artikel zitiert, der die OAuth-Geheimprobleme von Twitter beschneidet .

    Mein Rat wäre, den Schlüssel zu verschleiern, damit er nicht trivial extrahiert werden kann und du solltest vor Chancern und Spammern sicher sein.

    Hammer-Lahavs Meinung ist, dass OAuth-Geheimnisse nicht widerrufen werden sollten und nur für die Erhebung von Statistiken verwendet werden sollten. Hoffentlich Twitter folgen diesem Ratschlag.

    Hauptpunkt von 0Auth ist, dass Sie keine kostbaren sensiblen Informationen auf dem Gerät speichern – also ist es ok, Geheimnis auf dem Gerät zu speichern (viel besser, dass echte Benutzer Anmeldeinformationen). Falls Ihr Gerät Geheimnisse gestohlen wird, kann der Benutzer jederzeit den Zugriff ungültig machen, ohne dass er seine Anmeldeinformationen ändern muss

    Das Android ist ein Google Android Fan-Website, Alles ├╝ber Android Phones, Android Wear, Android Dev und Android Spiele Apps und so weiter.