۶- از پرسیدن درباره داده ها فردی دوری کنید
این روز ها به حریم سری مخاطب عنایت متعددی داده میگردد. در واقعیت شرایطی مانند راهبرد دفاع از داده های اتحادیه اروپا Data Protection Directive و ضابطه مراقبت از داده ها فردی و اوراق الکترونیکی کانادا Personal Information Protection and Electronic Documents Act وجود داراست که دفاع از حریم محرمانه استفاده کننده را مجاز میداند. به این ترتیب مگر اینکه استدلال کافی و زیرساخت بسیار مطمئنی برای گردآوری، ذخیره و جابجایی داده ها فردی استفاده کننده داشته باشید، در غیر اینصورت می بایست از درخواست بی واسطه آن در نرمافزار طراحی اپلیکیشن در مشهد های خویش دوری کنید.
طرز عالی برای تأیید اعتبار استفاده کننده و جستجوی داده ها پروفایل استفاده کننده در سیستم استدلال اندروید به کارگیری از Google Identity Platform میباشد. Google Identity Platform به یوزرها اذن میدهد تا با استعمال از اکانت Google خویش با گاز وارد نرم افزار شما شوند.
بعداز ورود توفیق آمیز به سیستم برهان، هر مجال که ما یحتاج باشد، نرمافزار شما میتواند به راحتی جزئیات مختلفی به عنوان مثال اسم استفاده کننده، نشانی پست الکترونیک، عکس نمایه، مخاطبین و مورد ها دیگر را درباره مخاطب کاوش نماید. متناوباً ، میتوانید از خدمت های بدونپول مانند Firebase به کارگیری نمایید که میتوانند احراز نام و نشان مخاطب را برای شما مدیر نمایند.
درحالتی که خودتان بایستی از داده ها کاربری به کار گیری نمائید پیشنهاد میشود که آنهارا به طور هش های امن ذخیره و جابجایی دهید. معمولی ترین رویکرد برای ساختوساز اشکال متفاوت هش با به کار گیری از Android SDK و به کارگیری از کلاس MessageDigest میباشد.
در اینجا یک قطعه کد خرد نقل شده میباشد که طریق ساخت و ساز یک هش از فن Hello World با به کارگیری از همت هش SHA-256 را علامت میدهد:
// Initialize MessageDigest to use SHA-256
MessageDigest md = MessageDigest.getInstance("SHA-256");
// Convert the string to a hash
byte[] sha256Hash = md.digest("Hello World".getBytes());
۷- برای بالا بردن امنیت اندروید ورودی مخاطب را اعتبار سنجی فرمائید
در سیستم استدلال Android ، ورودی نامعتبر از طرف مخاطب معمولاً سبب به ایرادات امنیتی مانند اضافه شدن بافر نمیشود. اما در صورتیکه به یوزرها اذن می دهید با یک مقر داده SQLite یا این که یک ارائه دهنده محتوا که در باطن از یک مقر داده SQLite به کار گیری می نماید تعامل داشته باشند، می بایست ورودی مخاطب را بررسی فرمائید یا این که از parameterized queries استعمال نمایید. عدم جاری ساختن این فعالیت، داده ها شمارا در قبال حمله ها تزریق اس کیو ال (SQL injection attacks) شکننده می نماید.
توضیحات : تهاجم ها تزریق اسکیوال چه وقتی چهره میدهند ؟
تزریق اسکیوال هنگامی چهره میدهد که یک نرم افزار داده های مهیا گردیده به وسیله مخاطب (هکر) را سوای اعتبار سنجی (کهاین داده ها معمولا از روش اینترنت هیبت ها اخذ میگردد) پردازش می نماید. در فیض ورودی هکر که وارد نرم افزار گردیده به مقر داده سرور برای اعمال ارسال میگردد. در سود آن تزریق اس کیو ال میتواند هکر را به دسترسی به محتوای مقر داده یا این که امر های ریموت در سیستم مجهز سازد.
در بدترین سناریوی ممکن هکر در اختیار گرفتن سروری را که مقر داده را میزبانی می نماید در مشت میگیرد . اثرگذاری تهاجم ها تزریق اس کیو ال به تعدادی استدلال بستگی داراست, اینکه جراحت پذیری در کجای کد چهره داده, اینکه جراحت پذیری چقدر فعالیت را برای هکر سهل وآسان کرده و اینکه نرم افزار جراحت یافته چه سطح دسترسی ایی به مقر داده سرور داراست.
در صورتیکه از ورودی مخاطب برای ایجاد کد پویا برای جاری ساختن بر روی یک موتور نرمافزار نویسی درنظرگرفته شده مانند Mozilla Rhino به کارگیری میکنید، اعتبارسنجی و اعتبار ورودی مخاطب نیز بسیار اساسی میباشد.
۸- پیش از تکثیر از ProGuard به کار گیری فرمائید
درحالتی که مهاجمان بتوانند سورس کد اپلیکشن شمارا در مشت بگیرند، اقدامات امنیتی داخلی که در اپلیکیشن اندرویدی شما وجود دارااست به شدت زخم می بیند. بخاطر همین پیش از نشر نرم افزار، پیشنهاد می شود از ابزاری برای ایمن سازی نرم افزار های اندرویدی به اسم ProGuard به کار گیری فرمائید، که در Android SDK جان دار میباشد.
این ابزار با صرفه ساز برای Java bytecode میباشد و منجر میگردد تا نرمافزار های جاوا و اندروید شما تا ۹۰ درصد کوچکتر و تا ۲۰ درصد سریعتر شوند.
چنانچه buildType روی release تهیه گردیده باشد، اندروید به صورت اتومات ProGuard را در روند تشکیل داد قرار میدهد. در اکثر اپلیکیشن ها کانفیگ پیش فرض ProGuard در فولدر proguard-android.txt در Android SDK در دسترس میباشد.
چنانچه میخواهید این پیکربندی را فردی سازی فرمایید و تغییر تحول دهید، میتوانید این شغل را در درون فایلی به اسم proguard-rules.pro که بخشی از هر پروژه اندروید استودیو میباشد اعمال دهید.
۶- از پرسیدن درباره داده ها فردی دوری کنید
این روز ها به حریم سری مخاطب عنایت متعددی داده میگردد. در واقعیت شرایطی مانند راهبرد دفاع از داده های اتحادیه اروپا Data Protection Directive و ضابطه مراقبت از داده ها فردی و اوراق الکترونیکی کانادا Personal Information Protection and Electronic Documents Act وجود داراست که دفاع از حریم محرمانه استفاده کننده را مجاز میداند. به این ترتیب مگر اینکه استدلال کافی و زیرساخت بسیار مطمئنی برای گردآوری، ذخیره و جابجایی داده ها فردی استفاده کننده داشته باشید، در غیر اینصورت می بایست از درخواست بی واسطه آن در نرمافزار طراحی اپلیکیشن در مشهد های خویش دوری کنید.
طرز عالی برای تأیید اعتبار استفاده کننده و جستجوی داده ها پروفایل استفاده کننده در سیستم استدلال اندروید به کارگیری از Google Identity Platform میباشد. Google Identity Platform به یوزرها اذن میدهد تا با استعمال از اکانت Google خویش با گاز وارد نرم افزار شما شوند.
بعداز ورود توفیق آمیز به سیستم برهان، هر مجال که ما یحتاج باشد، نرمافزار شما میتواند به راحتی جزئیات مختلفی به عنوان مثال اسم استفاده کننده، نشانی پست الکترونیک، عکس نمایه، مخاطبین و مورد ها دیگر را درباره مخاطب کاوش نماید. متناوباً ، میتوانید از خدمت های بدونپول مانند Firebase به کارگیری نمایید که میتوانند احراز نام و نشان مخاطب را برای شما مدیر نمایند.
درحالتی که خودتان بایستی از داده ها کاربری به کار گیری نمائید پیشنهاد میشود که آنهارا به طور هش های امن ذخیره و جابجایی دهید. معمولی ترین رویکرد برای ساختوساز اشکال متفاوت هش با به کار گیری از Android SDK و به کارگیری از کلاس MessageDigest میباشد.
در اینجا یک قطعه کد خرد نقل شده میباشد که طریق ساخت و ساز یک هش از فن Hello World با به کارگیری از همت هش SHA-256 را علامت میدهد:
// Initialize MessageDigest to use SHA-256
MessageDigest md = MessageDigest.getInstance("SHA-256");
// Convert the string to a hash
byte[] sha256Hash = md.digest("Hello World".getBytes());
۷- برای بالا بردن امنیت اندروید ورودی مخاطب را اعتبار سنجی فرمائید
در سیستم استدلال Android ، ورودی نامعتبر از طرف مخاطب معمولاً سبب به ایرادات امنیتی مانند اضافه شدن بافر نمیشود. اما در صورتیکه به یوزرها اذن می دهید با یک مقر داده SQLite یا این که یک ارائه دهنده محتوا که در باطن از یک مقر داده SQLite به کار گیری می نماید تعامل داشته باشند، می بایست ورودی مخاطب را بررسی فرمائید یا این که از parameterized queries استعمال نمایید. عدم جاری ساختن این فعالیت، داده ها شمارا در قبال حمله ها تزریق اس کیو ال (SQL injection attacks) شکننده می نماید.
توضیحات : تهاجم ها تزریق اسکیوال چه وقتی چهره میدهند ؟
تزریق اسکیوال هنگامی چهره میدهد که یک نرم افزار داده های مهیا گردیده به وسیله مخاطب (هکر) را سوای اعتبار سنجی (کهاین داده ها معمولا از روش اینترنت هیبت ها اخذ میگردد) پردازش می نماید. در فیض ورودی هکر که وارد نرم افزار گردیده به مقر داده سرور برای اعمال ارسال میگردد. در سود آن تزریق اس کیو ال میتواند هکر را به دسترسی به محتوای مقر داده یا این که امر های ریموت در سیستم مجهز سازد.
در بدترین سناریوی ممکن هکر در اختیار گرفتن سروری را که مقر داده را میزبانی می نماید در مشت میگیرد . اثرگذاری تهاجم ها تزریق اس کیو ال به تعدادی استدلال بستگی داراست, اینکه جراحت پذیری در کجای کد چهره داده, اینکه جراحت پذیری چقدر فعالیت را برای هکر سهل وآسان کرده و اینکه نرم افزار جراحت یافته چه سطح دسترسی ایی به مقر داده سرور داراست.
در صورتیکه از ورودی مخاطب برای ایجاد کد پویا برای جاری ساختن بر روی یک موتور نرمافزار نویسی درنظرگرفته شده مانند Mozilla Rhino به کارگیری میکنید، اعتبارسنجی و اعتبار ورودی مخاطب نیز بسیار اساسی میباشد.
۸- پیش از تکثیر از ProGuard به کار گیری فرمائید
درحالتی که مهاجمان بتوانند سورس کد اپلیکشن شمارا در مشت بگیرند، اقدامات امنیتی داخلی که در اپلیکیشن اندرویدی شما وجود دارااست به شدت زخم می بیند. بخاطر همین پیش از نشر نرم افزار، پیشنهاد می شود از ابزاری برای ایمن سازی نرم افزار های اندرویدی به اسم ProGuard به کار گیری فرمائید، که در Android SDK جان دار میباشد.
این ابزار با صرفه ساز برای Java bytecode میباشد و منجر میگردد تا نرمافزار های جاوا و اندروید شما تا ۹۰ درصد کوچکتر و تا ۲۰ درصد سریعتر شوند.
چنانچه buildType روی release تهیه گردیده باشد، اندروید به صورت اتومات ProGuard را در روند تشکیل داد قرار میدهد. در اکثر اپلیکیشن ها کانفیگ پیش فرض ProGuard در فولدر proguard-android.txt در Android SDK در دسترس میباشد.
چنانچه میخواهید این پیکربندی را فردی سازی فرمایید و تغییر تحول دهید، میتوانید این شغل را در درون فایلی به اسم proguard-rules.pro که بخشی از هر پروژه اندروید استودیو میباشد اعمال دهید.