【发布时间】:2015-12-07 05:48:05
【问题描述】:
我的应用使用硬编码的子密钥和 pubkey 初始化 PubNub,然后订阅/发布到频道。如何防止有人对我的应用进行逆向工程、收集 sub/pub 密钥并将垃圾信息发布到我的频道?
【问题讨论】:
-
在你的应用程序中使用 Proguard
-
Proguard 是否隐藏了 sub/pub 键?我假设它们不会改变?
-
您必须创建一个 pojo 类并将这些字段设为私有并使用 getter &setter 访问它们
-
使用 Proguard 并不能完全解决这个问题。希望确定子/发布密钥的人只需要嗅探来自 android 应用程序的网络流量即可找到密钥。要阻止网络流量被嗅探,您需要通过固定 SSL 证书来防止 MITM 攻击。见:owasp.org/index.php/Certificate_and_Public_Key_Pinning#Android