【问题标题】:PubNub security against someone reverse engineering an android appPubNub 安全防范某人对 Android 应用程序进行逆向工程
【发布时间】:2015-12-07 05:48:05
【问题描述】:

我的应用使用硬编码的子密钥和 pubkey 初始化 PubNub,然后订阅/发布到频道。如何防止有人对我的应用进行逆向工程、收集 sub/pub 密钥并将垃圾信息发布到我的频道?

【问题讨论】:

  • 在你的应用程序中使用 Proguard
  • Proguard 是否隐藏了 sub/pub 键?我假设它们不会改变?
  • 您必须创建一个 pojo 类并将这些字段设为私有并使用 getter &setter 访问它们
  • 使用 Proguard 并不能完全解决这个问题。希望确定子/发布密钥的人只需要嗅探来自 android 应用程序的网络流量即可找到密钥。要阻止网络流量被嗅探,您需要通过固定 SSL 证书来防止 MITM 攻击。见:owasp.org/index.php/Certificate_and_Public_Key_Pinning#Android

标签: android security pubnub


【解决方案1】:

PubNub 访问管理器

没有绝对的方法可以隐藏您的密钥,但您可以管理经过身份验证的用户如何访问(使用)您的密钥。 PubNub's Access Manager 为您提供了一种方法来实现授予最终用户需要访问的频道(发布、订阅等)的身份验证密钥的权限。

权限包括读取(订阅和查询)、写入(发布和更新)和管理(将频道添加到频道组)。您将为最终用户需要使用的每个频道和频道组授予这些权限,并且您提供给最终用户的身份验证密钥将成为 PubNub 初始化中的一个参数,该参数将在调用每个 PubNub 操作时传递给 PubNub由该最终用户。

以上内容有点高,但this is a thorough discussion about hiding keys/managing access Stephen Blum (@PubNub) 和 Phil Leggetter (@leggetter) 是实时数据流网络空间等领域中受人尊敬和杰出的思想领袖。

【讨论】:

    猜你喜欢
    • 2021-09-09
    • 2011-08-11
    • 1970-01-01
    • 1970-01-01
    • 2011-11-19
    • 1970-01-01
    • 2016-04-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多