Merhabalar ; Androidde geliştirilen bir uygulama çok kolay bir şekilde decompile edilebiliyor. İnternette bunu sağlayan http://www.decompileandroid.com/ v.b. bir çok araç mevcut.
Proguard gibi Obfuske araçları ile decompile edilmiş kodun anlaşılması zorlaştırılıyor. Ama anladığım kadarıyla (Yanlışım varsa düzeltin) sadece değişken isimleri, sınıf isimlerini değiştirerek kodun anlaşılması zorlanıyor. Web servis url ve giriş bilgileri gibi değişken değerleri aynen görünüyor. Token bazlı doğrulama ile güvenlik önlemi alınıyor. Ama diyelim ki bir haber uygulaması yapacağız. Kullanıcı doğrulama işlemi yapmayacağız.
Uygulamanın servis bilgilerinin güvenliğini nasıl sağlarız ?
Bu konuda yardımcı olabiliseniz sevinirim. Şimdiden teşekkürler.

soruldu: 01 May '14, 04:13

cnrblm's gravatar image

cnrblm
4062611
cevap kabul oranı: 21%

değiştirildi: 05 May '14, 09:35

MDemir's gravatar image

MDemir
2.1k173445

1

uygulama servis bilgilerinin güvenliği derken nedir tam olarak sormak istediğiniz? Web servis in sunduğu hizmeti sizin yazdığınız uygulama dışında başka istemciden almasınlar derseniz bu biraz zor. Sadece belirli bir kullanıcı grubu bu servisten yararlansın derseniz kullanıcı adı parola ile önce kullanıcı girişi sağlayıp sonra kullanıcı id si ile haberleri gösterebilirsiniz.

(05 May '14, 08:35) Önder %C3%96nder's gravatar image

konu burda (http://stackoverflow.com/questions/4427238/hiding-strings-in-obfuscated-code) tartışılmış, url vs gibi onemli bilgileri sifreleyerek saklamayı onermis fakat decrypt etmek icin de gerekli olan key de apk icinde olmasi handikap, alternatif olarak drm servisi kullanılması da onerilmis, ben sahsen decrypt icin gerekli key'i string olarak tutmak yerine numerik, parcali dizi olarak tutup bir nebze daha gizleme yapıyorum

permanent link

cevaplandı: 05 May '14, 01:50

gturedi's gravatar image

gturedi
2.8k41538
cevap kabul oranı: 26%

değiştirildi: 05 May '14, 09:45

Teşekkürler.

(05 May '14, 08:07) cnrblm cnrblm's gravatar image

Bazı obfuscation işlemleri kaynak kodun anlaşılması imkansız hale bile getirebiliyor. Bunu yaparken çok iyi konfigüre edilmeli.

Mesela

alt text

permanent link

cevaplandı: 05 May '14, 09:41

MDemir's gravatar image

MDemir
2.1k173445
cevap kabul oranı: 24%

obfuscator ne kadar configure edilirse edilsin android local ağ üzerinden internete bağlanılıp hangi servise ne gönderdiği rahatlıkla görülebilir, web servis güvenliği obfuscator la değil servis tarafında yapılmalı diye düşünüyorum ben hala.

(05 May '14, 11:15) Önder %C3%96nder's gravatar image
1

Evet güvenlik kısmında haklısınız. Ben soruyu soran kişinin obfuscation işleminin sandığı kadar basit bir şey olmadığını belirttim. Yayınladığı servisin güvenliği için web services authentication yapmalı, kaynak kod güvenliği için ise iyi bir konfigüre edilmiş obfuscation yapmalı.

(05 May '14, 11:48) MDemir MDemir's gravatar image

@MDemir kodun bu şekilde görüntülenmesinin , decompile aracının bazı noktalardaki yetersizliginden kaynaklandıgını sanıyorum, proguard'ı iyi konfigüre etmekle oluyor demek. bu işleme dair blog yazısı vs kaynak var mı acaba elinizde?

(12 May '14, 02:58) gturedi gturedi's gravatar image
Cevabınız
toggle preview

powered by BitNami OSQA