security相关内容

如何生成JCEKS密钥存储在机器人

我用 密钥库存储= KeyStore.getInstance（“JCEKS”）; 不过是让KeyStoreException java.security.KeyStoreException：密钥库JCEKS实现未找到 原因是默认的安全提供者BouncyCastle的Andr​​oid中。 因此，我用 密钥库存储= KeyStore.getInstance（“JCEKS”， ..

发布时间：2015-12-05 11:26:09 android security keystore android-keystore 移动开发

Android的许可 - CHANGE_COMPONENT_ENABLED_STATE

我需要使用android.permission.CHANGE_COMPONENT_ENABLED_STATE权限在我的code，因为我需要更新我的项目的另一个APK的组件，但它不似乎真的为我工作。 这是我的code： ＆LT;许可 机器人：名称=“android.permission.CHANGE_COMPONENT_ENABLED_STATE” 安卓的ProtectionLe ..

发布时间：2015-12-05 01:21:31 android security permissions components 移动开发

客户端 - 服务器的安全性和认证

无论编程语言 我有一个客户端服务器应用程序。 移动客户端 - HTTP服务器 该应用程序将可在多个手机不​​仅是机器人。 我要确保请求只从客户端的手机来了。 我该如何解决这个安全问题？ 我建议： 对移动应用的密钥硬codeD： 每个请求使用该密钥加密和解密在服务器侧 它是安全的c。如果这种方式是有道理的，在所有的关键硬$ C $？ （反编译器可以拿到钥匙？应用程序将不仅可 ..

发布时间：2015-12-05 00:44:05 java php android security Java开发

安卓4.3：我如何检查是否用户已锁定启用？

我想我的应用程序不同的行为（而不是存储的东西），如果用户没有锁屏或只刷卡启用。 顶部的答案在这里：检查是否启用锁或不已编辑要说code不再升级后的作品到Android 4.3。 反正有检测这个在Android 4.3？ 解决方案 好了，现在看来，这是可能的一些反思。不是最好的解决办法，但至少它的工作原理上我们尝试了设备： 类＆LT;＆GT; clazz所=的Class.forName（“c ..

发布时间：2015-12-05 00:31:15 android security locking 移动开发

prevent反编译的Andr​​oid APK

我创建了Android和iOS的应用程序，我已经知道，这是理论上可以反编译Android应用程序。该应用程序包含我不希望用户能够访问同一个Web服务器应用程序接口的敏感信息。如果用户获取了一些信息提供源$ C ​​$ C，它们可能潜在的垃圾邮件我的Web服务器的请求。 有没有什么办法来验证应用程序和服务器之间的连接，假设源$ C ​​$ c是可访问的，或者是有什么办法来混淆我的code至prev ..

发布时间：2015-12-04 23:52:30 android security 移动开发

在应用程序内结算的安全性

我已经完成了我开发的应用程序，用于应用程序计费V3。我的应用程序是考试的帮助应用程序，其具有被插入到数据库中的问题列表。这让我担心的事情是安全性超越ProGuard的有pretty的多一点东西。我的应用程序查询所购买物品的清单，这样存储的购买是没有问题的。 所以，第一个问题是有人可以反编译的应用程序（我已经完成），甚至使用ProGuard，你可以不会有太大困难检索所有的问题。 接下来的事情是应 ..

发布时间：2015-12-04 23:47:39 android security in-app-billing 移动开发

CSRF的移动应用程序

的现状 Alice使用网上银行的网站，它存储了她的凭据的cookie。 Cookie过期 在夏娃发送给Alice一个恶意的URL随后导致爱丽丝从她的银行账户中提取资金，并将其发送给夏娃。 这一个共同的CSRF例如Web应用程序，但是，它是可行的它做移动应用这里面？ 如果Alice用她的手机银行应用程序，它存储的cookie，然后访问从夏娃一个网站，也有类似的结果是什么？ 将从本地（或混合 ..

发布时间：2015-12-04 23:36:09 android ios security mobile language-agnostic 移动开发

Android权限：如何了解哪些是危险与正常？

Android的定义一组权限的第三方应用程序可以请求。 权限由敏感性分类;大多数的权限是“常规”或“危险”。普通权限自动授予，不提示用户;危险的权限psented用户$ P $时，应用程序安装，用户被要求同意给予他们。 问：对于任何特定的Andr​​oid许可，我心目中，我怎么能告诉它是否是一个正常的许可或危险的权限？是否有危险的权限列表和普通权限的列表？ （我知道，第三方应用程序可以声明自己 ..

发布时间：2015-12-04 22:51:48 android security permissions 移动开发

我怎样才能prevent任何人，除了我的Andr​​oid应用程序与我的服务器进行通信

我在谷歌应用程序引擎休息的服务器，我想只有我的应用程序才能够拨打电话到我的服务器。 有一个安全的选择，我可以打开在谷歌应用引擎将faciliate吗？如果不是我能做些什么？ 我知道你可以限制访问某些网页与follwing，但我不知道它可以应用到REST调用 ＆LT;安全约束＆GT; ＆LT;网络资源收集和GT; ＆LT; URL模式＆GT; / cro ..

发布时间：2015-12-04 22:32:18 java android security google-app-engine rest Java开发

有没有一种方法来检查，如果一个应用程序签名调试或发布？

我目前正在开发的RPC服务，供开发者使用，但想确保我可以在另一个应用程序的调试键和他们的公钥进行区分。有没有一种方法来检查另一个应用程序的关键，并告诉它是否是一个关键的调试和NOT发布的应用程序键？ 这样做的目的是为了能够告诉当他们的应用程序正在开发或释放的状态，我需要能够告诉他们是否应该访问我的dev的服务器或我的生产服务器。 解决方案 在默认情况下使用Eclipse中androiddeb ..

发布时间：2015-12-04 21:58:28 android security certificate license-key 移动开发

Android的中央密钥库

我希望有一种方法以编程方式访问的中央信任的密钥存储在Android设备上。我知道存在，至少验证SSL连接等，其中还附带了一个方便的工具添加证书，浏览等（在设置 - 找到>位置和放大器;安全 - >管理受信任的证书） 我希望能够以编程方式检索它的公钥加密文件等的目的。 由于提供的文档，好像其他的应用程序开发人员在他们的应用程序，这似乎是多余的管理自己的密钥库。 任何想法？ 解决方案 这是不 ..

发布时间：2015-12-04 21:57:19 java android security certificate android-keystore Java开发

字符串资源的安全性

我想知道什么是Android的资源文件夹的安全（我特别关心的字符串）。我知道，我知道，这将是可笑的存储密码的strings.xml。它不是这样的，但它是多么容易窥探这些资源，获取合理的应用程序的信息？ 解决方案 不幸的是pretty的容易得到的资源。如 apktool 工具能够做到这一点。我曾提出过类似的问题 ..

发布时间：2015-12-04 21:52:40 java android string security Java开发

的Oauth 2.0：客户端ID和客户端秘密暴露出来，它是一个安全问题？

当一个安卓的OAuth 2.0客户端应用程序都有凭证（客户端ID和客户端密钥）硬codeD很容易反编译的应用程序和检索的凭据。 什么是暴露的后果客户端ID和秘密？ 解决方案 我知道这不会是一个很好的StackOverflow的答案，但我不觉得能解释它比威胁模型和安全注意事项（RFC 6819更好）。因此，这里是如何获得一个客户端秘密及其相关后果的段落。 请注意，一个Android应用程序是 ..

发布时间：2015-12-04 13:34:07 android security oauth-2.0 移动开发

如何验证Web服务invokation的由来

假设你有一个移动应用程序（Windows手机或Android），使用SOAP连接哟后端。 有关使它容易，让我们说，我们必须用C＃实现的Web服务。该服务器公开以下方法： [WebMethod的] 公共字符串SayHallo（）{返回“喂客户端”; } 从服务器的角度来看，你不能告诉你来电者是你的移动应用程序或开发人员要调试您的Web服务或黑客试图扭​​转工程师/开发后端。 如何才 ..

发布时间：2015-12-04 13:32:34 android web-services security windows-phone-7 cryptography 移动开发

保护Web服务，因此它只能由特定的Andr​​oid应用程序调用

我们有一个只能由特定的Andr​​oid应用程序被称为Web服务。有什么解决办法是存在这个问题？ 要求是不使用身份验证的。 解决方案 如果这只是你的客户和你的服务器，你可以（也应该）使用SSL，而无需购买任何东西。您可以控制​​服务器和客户端，所以每个人都应该只相信一个证书，一个属于其他的，你并不需要的CA用于这一目的。 下面是高层次的方法。创建自签名服务器SSL证书，并部署在Web服务器 ..

发布时间：2015-12-04 13:01:25 android security 移动开发

的Andr​​oid如何确保文件目录内容

我问同样的问题如下： 安全内容的文档目录 有关机器人。 有没有在Android中什么是$ P $这里psented等价概念： 保护应用程序沙箱 我的特殊要求是保护文件从植根设备也使他们只能通过应用程序，并有一定的寿命。 感谢 解决方案 我的特殊要求是保护文件从植根设备 根据定义，那是不可能的。 首先，谁拥有root权限的设备访问所有文件，随时随地在设备本身。 二，加密只是 ..

发布时间：2015-12-04 12:54:59 android security encryption documents 移动开发

如何保证意向数据，同时在应用程序在发送

我的工作我的Andr​​oid应用程序的安全性方面的问题。 我想知道，以确保意图数据和演员，而从一个应用程序发送到另一个，以使其他应用程序除了这两个可以窥探它的方式。 之一蛮力的方法是使用Android的加密，解密EN code意图数据，有没有更好的方法来达到同样的？ 在此先感谢。 解决方案 正如在其他的答案，但你可以发送一个Intent到一个完全合格的活动，没有任何prevents有人 ..

发布时间：2015-12-04 12:48:03 android security encryption android-intent 移动开发

如何基于软件卡仿真（HCE）担保NFC安全？

所引进的HCE的，没有安全元件（SE）是需要的模拟卡。其结果是，不存在存储保持该应用的敏感信息仿效卡如余额，CVV2，PIN码等 我只是想知道如何机器人修复此问题？当应用程序的敏感信息应该被储存在哪里？难道谷歌钱包使用这种技术？如果是，如何在敏感信息仍然是安全的？ 更新1： 在网络上的某些链接是指基于云的SE（云SE），而使用HCE，但我不明白究竟是什么这个云SE做。关于这个主题的任何链接，文 ..

发布时间：2015-12-04 12:15:23 android security nfc android-pay hce 移动开发

验证的Andr​​oid APK尚未重新包装？

遥望我的Andr​​oid应用程序提高到标志的安全性，如果.apk文件已被提取，修改，重新包装并辞职。下面是来自ZDNet的一篇文章指出的问题令人担忧的是，如果应用程序是由黑客们的目标，他们可以添加恶意code，并上传到另一个应用程序商店，并欺骗用户来下载。 所以，我想code验证APK或签名证书的校验？ 我AP preciate应用程序code可以重新包装和任何安全code删除，但它确实增加 ..

发布时间：2015-12-04 12:03:42 android security checksum 移动开发

Android的民营内容提供商？

我开发了涉及到一些敏感的用户信息的应用程序。我检索通过专用网络API这些信息。我试图确定获得这些数据转化为我的应用程序的最佳途径。现在我正在探索建立一个内容提供商可以这样做;我犹豫是在做它的安全。我想这个数据只能通过我的应用程序可以使用。理想的情况是，没有任何其他应用程序甚至会知道它的存在。 你对如何安全有效地做到这一点的任何指针或建议吗？ 对内容提供商的任何信息谁的数据源是一个远程OAuth' ..

发布时间：2015-12-04 11:54:17 android web-services security android-contentprovider sensitive-data 移动开发