security相关内容
我建立的APP和需要encript的图像的唯一的内容。我需要该文件仍然是转换后的图像,但图像显示不显示为原始。 例如,我将发送加密到其他用户的形象,这将是一个能够显示和图像(而不是原来的),但原始图像在该文件中被加密。 使用以下algorythm予加密整个文件,并且这不能被打开,由于图象首标被加密,以及 我用这algorythm,但我不知道该怎么只加密数据,或如何添加/修改图像的标题中的Ja
..
所以我在做一个应用程序,我希望用户能够添加,编辑和利率的内容,但我并不想强迫他们登记。相反,我打算只使用他们的设备ID或设备令牌来识别它们。我打算做既是iPhone和Android版本,所以我在寻找一个通用的解决方案,但iPhone版具有更高的优先级,所以一个iPhone具体的解决方案也将受到欢迎。 现在的问题是,我不希望任何人能够通过发送一个虚假的设备ID或别人的设备ID使用我的Web服务。
..
目前,我们正在实施OAuth2,以确保我们的新API和不知道如何安全地提供所需的功能的过程。我们需要允许从移动设备执行以下操作: 后立即下载该应用程序,用户能够拍摄一张照片,并提交无需先登录。 虽然我们希望允许匿名用户访问,其中一个用户并不需要登录或注册使用某些功能,我们不希望允许未经授权的访问API。这通常会使用客户端证书的授权流程获取和应用程序访问令牌,然而,这需要知道客户的秘密。从我
..
这里有一个最近的骗局通过Android市场犯下的一个很好的报告。 http://www.theregister.co.uk/2011/12 / 12 / android_market_malware / 有人复制了一些流行的游戏的apk文件从一个根的电话,反编译他们smali,增加code,使他们使用昂贵的premium短信服务,用他自己的密钥重新签了字,并把他们早在Android市场。在
..
我知道href="http://tools.ietf.org/html/rfc6819#section-5.2.3.1" rel="nofollow">公共客户端因为,不管你有多少混淆,它不会受到保护,不过,该负责人,我要进行身份验证的服务也不想/不能改变它。所以,我需要存储在客户端的秘密,并试图保护它免受逆向工程为尽我所能。 所以,我觉得在制作的时候用用摇篮,并将其存储在一个文件中对其进行
..
我的客户机/服务器数据传递所有正常工作。文字,图像等我的用户可以创建自己的Android设备上的博客型岗位,并上传到我的服务器。所有使用HTTP多部分和输入/输出流完成。我的问题是 - 我怎么知道客户端实际上是我的应用程序,而不是一些脚本/其他黑客程序 我要避免滥用的情况。 在恶意用户A创建,发送相应的表格数据到我的服务器,并能垃圾邮件的服务器,创建恶意的帖子1000电脑脚本。 在恶意用户
..
在我的Android应用程序,我用这需要两个字符串,客户端ID和clientSecret微软翻译。在那一刻,我很难codeD这两个字符串。因为我发现classes.dex可以转化为罐子,然后.class文件也可以被转换为.java文件,我认为,这些硬编码字符串懂事是不是一件好事。 所以我的问题很简单:如何从恶意攻击者隐藏这些字符串 感谢您 解决方案 pre-加密字符串,并将其存储在一个
..
我在网络服务器实现了一个简单的AJAX后(通过JS XmlHtt prequest对象)的网页。 不过,我在Android操作系统2.X的默认浏览器观察到一个奇怪的症状/问题 也就是说,如果由于某种原因,有足够长的时间延迟的网络服务器来返回一个响应(可以通过在网页硬编码的Thread.Sleep模拟),浏览器将自动重新交相同的请求到网络服务器再次在等待。 <脚本类型=“文/ JavaSc
..
目标 我正在实现与客户端证书的通信。 第1步:创建PKCS#10请求(CSR),并把它交给我的服务器签名。服务器接触传递CSR的CA和CA的迹象,然后返回一个PKCS#7(与已签署的PKCS#10和CA的证书)。 第2步:创建一个PKCS#12,安全地将其存储在Android设备上 步骤3:创建SSL连接,以使客户机将根据该证书进行认证。 现在,第1步的作品完全使用SpongyCastl
..
我实施加密code中的Java / Android的匹配iOS的加密。在iOS系统中有使用RSA加密使用以下填充方案:PKCS1-OAEP 然而,当我尝试创建密码与PKCS1-OAEP。 密码C = Cipher.getInstance(“RSA /无/ PKCS1-OAEP”,“BC”); 下面是堆栈跟踪 javax.crypto.NoSuchPaddingException:P
..
我试图使用客户证书机器人。 我说我想用对服务器进行身份验证.p12文件。 我使用portecle到.p12文件转换为.bks文件,但我似乎并没有得到它的工作。 这里的code: 包com.pa1406.SECURE; 进口的java.io.InputStream; 进口java.security.KeyStore中; 进口javax.net.ssl.KeyManagerFactory
..
有没有办法来保护安卓apk文件,以便源$ C $ C 不能再生?此外,还有一些的网络嗅探器 对于允许HTTP监控,是有办法绕过这些使得 输入/输出的网络流量无法监控? 我已阅读,code混淆,在一定程度上,可以使用 SourceForge上的Proguard的(参考)。 什么其他选择,我可以看看? 请指教。 感谢。 解决方案 您可以使用混淆混淆对象code,这使得它更难反编译(至少
..
我intested建立某种形式的无密码登录的移动应用程序和API之间(假设我可以同时控制)。的动机是不必登录是很烦人的用户和有安全隐患(如:用户会重复使用现有密码),我希望用户能够开始使用该应用程序直接。 我不知道是否有一些技巧,可以工作。例如: 生成和移动设备上的随机登录/密码和密码的钥匙串存储。 在注册使用此登录/密码组合的API。这将返回一个标记。 在令牌用于后续调用 的缺点是: 如
..
我们如何能够让Android的资产安全,使没有人可以应用在部署之后读? 解决方案 有什么可以做,这将阻止攻击者读取他们看的。 使用自己的应用程序级加密至少会使这个问题唯一的应用程序,但有人仍然可以做code你的应用程序的分析,以找出如何解密。 该平台的有限拷贝保护机制是较弱的,因为它们只为所有应用程序被击败一次(如由生根电话)。 通过平台的功能使用的资产也容易配置修改的平台,倾倒了它们的
..
我开发一个企业的Android应用程序,因此有必要创建客户端之间,并在我的测试阶段安全连接(Android模拟器/手机测试)服务器,即使服务器的证书是自签名的,而一个合法的证书(现在我的控制范围之外的东西)是被收购的公司。 我需要信任服务器的自签名证书,其证书颁发机构,这是不是由Android操作系统信任的,当然本身。我下面谷歌的建议,在这种情况下建立HTTPS环境几乎一字不差。 我目前所
..
我在的地步,我可以允许用户保存凭据我了未来的Android应用程序一个简单的Web应用程序。我担心的(即新到Android)是其他(邪恶)的应用程序可以得到这个看似本地数据库(本地我的应用程序是) 在写这个功能,我应该担心其他应用获取这个数据?如果是的话究竟是在本地进行加密的最佳方法(但请记住,我需要把它拉回来了在某些点登录时,他们正在使用的应用程序在用户) 谢谢! 解决方案 我有类似
..
公司创建了一个项目,并接收发送者ID。公司创建了一个应用程序,在烘烤的发件人ID,并将在商店中的应用程序。 攻击者逆向工程的应用程序,并提取发送者ID和用于接收GCM注册ID的服务器接口。 攻击者创建自己的应用程序,在烘焙公司的发件人ID和服务器的注册界面,把在商店的应用程序。攻击的应用程序基本上假冒公司的真正的应用程序尽可能GCM云:它注册到从公司的发件人ID接收邮件,然后将其GCM注册ID
..
我的Android应用程序,它具有硬codeD(静态字符串常量)凭据(用户/密码)通过SMTP发送电子邮件。 现在的问题是,在apk文件.dex文件可以很容易地逆向工程,每个人都可以看到我的密码。 有没有办法如何保护这些凭据,而我仍然能够使用他们在我的课? 解决方案 我想你可以尝试code混淆器,但真的不会让你的密码100%安全的,我不知道它如何随着Android的编译器去。为什么不使
..
对于我们的安全的应用程序之一,有一个要求禁止截屏功能在Android的ICS应用程序。这是一个无根的设备上可能吗? 谢谢, Rajath 解决方案 在你的活动课你为什么不加入这一行。这将这样的伎俩。 //这将禁用屏幕快照应采取的当前活动 getWindow()setFlags(LayoutParams.FLAG_SECURE,LayoutParams.FLAG_SECURE)。
..
我正在开发将被存储用户敏感数据的应用程序。我的问题是使用的其他应用程序,用户可以查看与该存储的数据。然后,我需要为一般的数据更好的安全性。 有没有办法提供SQLite数据库和表更好的安全性? 解决方案 源码的作者提供了加密数据的版本。它不是免费的,虽然
..