مقالات طراحی اپ موبایل

۶- از پرسیدن درباره داده ها فردی دوری کنید

این روز ها به حریم سری مخاطب عنایت متعددی داده می‌گردد. در واقعیت شرایطی مانند راهبرد دفاع از داده های اتحادیه اروپا Data Protection Directive و ضابطه مراقبت از داده ها فردی و اوراق الکترونیکی کانادا Personal Information Protection and Electronic Documents Act وجود داراست که دفاع از حریم محرمانه استفاده کننده را مجاز میداند. به این ترتیب مگر اینکه استدلال کافی و زیرساخت بسیار مطمئنی برای گردآوری، ذخیره و جابجایی داده ها فردی استفاده کننده داشته باشید، در غیر اینصورت می بایست از درخواست بی واسطه آن در نرم‌افزار طراحی اپلیکیشن در مشهد های خویش دوری کنید.

طرز عالی برای تأیید اعتبار استفاده کننده و جستجوی داده ها پروفایل استفاده کننده در سیستم استدلال اندروید به کارگیری از Google Identity Platform میباشد. Google Identity Platform به یوزرها اذن می‌دهد تا با استعمال از اکانت Google خویش با گاز وارد نرم افزار شما شوند.

بعداز ورود توفیق آمیز به سیستم برهان، هر مجال که ما یحتاج باشد، نرم‌افزار شما میتواند به راحتی جزئیات مختلفی به عنوان مثال اسم استفاده کننده، نشانی پست الکترونیک، عکس نمایه، مخاطبین و مورد ها دیگر را درباره مخاطب کاوش نماید. متناوباً ، میتوانید از خدمت های بدون‌پول مانند Firebase به کارگیری نمایید که میتوانند احراز نام و نشان مخاطب را برای شما مدیر نمایند.

در‌حالتی که خودتان بایستی از داده ها کاربری به کار گیری نمائید پیشنهاد میشود که آن‌ها‌را به طور هش های امن ذخیره و جابجایی دهید. معمولی ترین رویکرد برای ساخت‌و‌ساز اشکال متفاوت هش با به کار گیری از Android SDK و به کارگیری از کلاس MessageDigest میباشد.

در اینجا یک قطعه کد خرد نقل شده میباشد که طریق ساخت و ساز یک هش از فن Hello World با به کارگیری از همت هش SHA-256 را علامت می‌دهد:

// Initialize MessageDigest to use SHA-256
MessageDigest md = MessageDigest.getInstance("SHA-256");
// Convert the string to a hash
byte[] sha256Hash = md.digest("Hello World".getBytes());

۷- برای بالا بردن امنیت اندروید ورودی مخاطب را اعتبار سنجی فرمائید

در سیستم استدلال Android ، ورودی نامعتبر از طرف مخاطب معمولاً سبب به ایرادات امنیتی مانند اضافه شدن بافر نمی‌شود. اما در صورتی‌که به یوزرها اذن می دهید با یک مقر داده SQLite یا این که یک ارائه دهنده محتوا که در باطن از یک مقر داده SQLite به کار گیری می نماید تعامل داشته باشند، می بایست ورودی مخاطب را بررسی فرمائید یا این که از parameterized queries استعمال نمایید. عدم جاری ساختن این فعالیت، داده ها شمارا در قبال حمله ها تزریق اس کیو ال (SQL injection attacks) شکننده می نماید.

توضیحات : تهاجم ها تزریق اسکیوال چه وقتی چهره میدهند ؟

تزریق اسکیوال هنگامی چهره می‌دهد که یک نرم افزار داده های مهیا گردیده به وسیله مخاطب (هکر) را سوای اعتبار سنجی (که‌این داده ها معمولا از روش اینترنت هیبت ها اخذ می‌گردد) پردازش می نماید. در فیض ورودی هکر که وارد نرم افزار گردیده به مقر داده سرور برای اعمال ارسال میگردد. در سود آن تزریق اس کیو ال میتواند هکر را به دسترسی به محتوای مقر داده یا این که امر های ریموت در سیستم مجهز سازد.

در بدترین سناریوی ممکن هکر در اختیار گرفتن سروری را که مقر داده را میزبانی می نماید در مشت میگیرد . اثرگذاری تهاجم ها تزریق اس کیو ال به تعدادی استدلال بستگی داراست, اینکه جراحت پذیری در کجای کد چهره داده, اینکه جراحت پذیری چقدر فعالیت را برای هکر سهل وآسان کرده و اینکه نرم افزار جراحت یافته چه سطح دسترسی ایی به مقر داده سرور داراست.

در صورتی‌که از ورودی مخاطب برای ایجاد کد پویا برای جاری ساختن بر روی یک موتور نرم‌افزار نویسی درنظرگرفته شده مانند Mozilla Rhino به کارگیری میکنید، اعتبارسنجی و اعتبار ورودی مخاطب نیز بسیار اساسی میباشد.

۸- پیش از تکثیر از ProGuard به کار گیری فرمائید

در‌حالتی که مهاجمان بتوانند سورس کد اپلیکشن شما‌را در مشت بگیرند، اقدامات امنیتی داخلی که در اپلیکیشن اندرویدی شما وجود دارااست به شدت زخم می بیند. بخاطر همین پیش از نشر نرم افزار، پیشنهاد می شود از ابزاری برای ایمن سازی نرم افزار های اندرویدی به اسم ProGuard به کار گیری فرمائید، که در Android SDK جان دار میباشد.

این ابزار با صرفه ساز برای Java bytecode میباشد و منجر میگردد تا نرم‌افزار های جاوا و اندروید شما تا ۹۰ درصد کوچکتر و تا ۲۰ درصد سریعتر شوند.

چنانچه buildType روی release تهیه گردیده باشد، اندروید به صورت اتومات ProGuard را در روند تشکیل داد قرار میدهد. در اکثر اپلیکیشن ها کانفیگ پیش فرض ProGuard در فولدر proguard-android.txt در Android SDK در دسترس میباشد.

چنانچه می‌خواهید این پیکربندی را فردی سازی فرمایید و تغییر تحول دهید، میتوانید این شغل را در درون فایلی به اسم proguard-rules.pro که بخشی از هر پروژه اندروید استودیو میباشد اعمال دهید.

۶- از پرسیدن درباره داده ها فردی دوری کنید

این روز ها به حریم سری مخاطب عنایت متعددی داده می‌گردد. در واقعیت شرایطی مانند راهبرد دفاع از داده های اتحادیه اروپا Data Protection Directive و ضابطه مراقبت از داده ها فردی و اوراق الکترونیکی کانادا Personal Information Protection and Electronic Documents Act وجود داراست که دفاع از حریم محرمانه استفاده کننده را مجاز میداند. به این ترتیب مگر اینکه استدلال کافی و زیرساخت بسیار مطمئنی برای گردآوری، ذخیره و جابجایی داده ها فردی استفاده کننده داشته باشید، در غیر اینصورت می بایست از درخواست بی واسطه آن در نرم‌افزار طراحی اپلیکیشن در مشهد های خویش دوری کنید.

طرز عالی برای تأیید اعتبار استفاده کننده و جستجوی داده ها پروفایل استفاده کننده در سیستم استدلال اندروید به کارگیری از Google Identity Platform میباشد. Google Identity Platform به یوزرها اذن می‌دهد تا با استعمال از اکانت Google خویش با گاز وارد نرم افزار شما شوند.

بعداز ورود توفیق آمیز به سیستم برهان، هر مجال که ما یحتاج باشد، نرم‌افزار شما میتواند به راحتی جزئیات مختلفی به عنوان مثال اسم استفاده کننده، نشانی پست الکترونیک، عکس نمایه، مخاطبین و مورد ها دیگر را درباره مخاطب کاوش نماید. متناوباً ، میتوانید از خدمت های بدون‌پول مانند Firebase به کارگیری نمایید که میتوانند احراز نام و نشان مخاطب را برای شما مدیر نمایند.

در‌حالتی که خودتان بایستی از داده ها کاربری به کار گیری نمائید پیشنهاد میشود که آن‌ها‌را به طور هش های امن ذخیره و جابجایی دهید. معمولی ترین رویکرد برای ساخت‌و‌ساز اشکال متفاوت هش با به کار گیری از Android SDK و به کارگیری از کلاس MessageDigest میباشد.

در اینجا یک قطعه کد خرد نقل شده میباشد که طریق ساخت و ساز یک هش از فن Hello World با به کارگیری از همت هش SHA-256 را علامت می‌دهد:

// Initialize MessageDigest to use SHA-256
MessageDigest md = MessageDigest.getInstance("SHA-256");
// Convert the string to a hash
byte[] sha256Hash = md.digest("Hello World".getBytes());

۷- برای بالا بردن امنیت اندروید ورودی مخاطب را اعتبار سنجی فرمائید

در سیستم استدلال Android ، ورودی نامعتبر از طرف مخاطب معمولاً سبب به ایرادات امنیتی مانند اضافه شدن بافر نمی‌شود. اما در صورتی‌که به یوزرها اذن می دهید با یک مقر داده SQLite یا این که یک ارائه دهنده محتوا که در باطن از یک مقر داده SQLite به کار گیری می نماید تعامل داشته باشند، می بایست ورودی مخاطب را بررسی فرمائید یا این که از parameterized queries استعمال نمایید. عدم جاری ساختن این فعالیت، داده ها شمارا در قبال حمله ها تزریق اس کیو ال (SQL injection attacks) شکننده می نماید.

توضیحات : تهاجم ها تزریق اسکیوال چه وقتی چهره میدهند ؟

تزریق اسکیوال هنگامی چهره می‌دهد که یک نرم افزار داده های مهیا گردیده به وسیله مخاطب (هکر) را سوای اعتبار سنجی (که‌این داده ها معمولا از روش اینترنت هیبت ها اخذ می‌گردد) پردازش می نماید. در فیض ورودی هکر که وارد نرم افزار گردیده به مقر داده سرور برای اعمال ارسال میگردد. در سود آن تزریق اس کیو ال میتواند هکر را به دسترسی به محتوای مقر داده یا این که امر های ریموت در سیستم مجهز سازد.

در بدترین سناریوی ممکن هکر در اختیار گرفتن سروری را که مقر داده را میزبانی می نماید در مشت میگیرد . اثرگذاری تهاجم ها تزریق اس کیو ال به تعدادی استدلال بستگی داراست, اینکه جراحت پذیری در کجای کد چهره داده, اینکه جراحت پذیری چقدر فعالیت را برای هکر سهل وآسان کرده و اینکه نرم افزار جراحت یافته چه سطح دسترسی ایی به مقر داده سرور داراست.

در صورتی‌که از ورودی مخاطب برای ایجاد کد پویا برای جاری ساختن بر روی یک موتور نرم‌افزار نویسی درنظرگرفته شده مانند Mozilla Rhino به کارگیری میکنید، اعتبارسنجی و اعتبار ورودی مخاطب نیز بسیار اساسی میباشد.

۸- پیش از تکثیر از ProGuard به کار گیری فرمائید

در‌حالتی که مهاجمان بتوانند سورس کد اپلیکشن شما‌را در مشت بگیرند، اقدامات امنیتی داخلی که در اپلیکیشن اندرویدی شما وجود دارااست به شدت زخم می بیند. بخاطر همین پیش از نشر نرم افزار، پیشنهاد می شود از ابزاری برای ایمن سازی نرم افزار های اندرویدی به اسم ProGuard به کار گیری فرمائید، که در Android SDK جان دار میباشد.

این ابزار با صرفه ساز برای Java bytecode میباشد و منجر میگردد تا نرم‌افزار های جاوا و اندروید شما تا ۹۰ درصد کوچکتر و تا ۲۰ درصد سریعتر شوند.

چنانچه buildType روی release تهیه گردیده باشد، اندروید به صورت اتومات ProGuard را در روند تشکیل داد قرار میدهد. در اکثر اپلیکیشن ها کانفیگ پیش فرض ProGuard در فولدر proguard-android.txt در Android SDK در دسترس میباشد.

چنانچه می‌خواهید این پیکربندی را فردی سازی فرمایید و تغییر تحول دهید، میتوانید این شغل را در درون فایلی به اسم proguard-rules.pro که بخشی از هر پروژه اندروید استودیو میباشد اعمال دهید.