我已经“保护”了我的 Android 应用程序和提供金融交易服务的 tls 服务器之间的通信,目前正在开发中。
安全凭证存储在 Android apk 中包含的 BKS 密钥库中。密钥库的密码在应用程序源中以纯文本形式可见:
keyStore.load(is, "passwd".toCharArray());
我担心如果有人对应用程序进行逆向工程,他们将能够冒充其他用户并危及服务的安全性。
我想知道我的实施是否存在错误,是否有其他人有这种担忧,以及防止这种可能性的最佳方法是什么。
每当您将安全数据存储在客户端上时,它都可能会受到逆向工程的影响。您可能会尝试在代码中掩盖它,但坚定的黑客无论如何都会发现它。因此,使其更安全的唯一方法就是不要在代码中公开密码。也许您可以在应用程序启动时询问用户一些 pin 码并使用它来解密密码?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
