Μόλις είχε ανακοινωθεί το χρονοδιάγραμμα για τις περιόδους προγραμματισμού του Google I / O 2012, ήξερα ότι η σύνοδος Ασφάλεια και απόρρητο στο Android Apps επρόκειτο να είναι μια συνεδρία που πρέπει να παρευρεθείς. Το Διαδίκτυο και το μηχάνημά του FUD δίνουν στην ασφάλεια του Android πολύ κακό Τύπο και ενώ κάποια από αυτά δικαιολογούνται, μερικά από αυτά είναι απλά αισθησιασμός. Το Android είναι ένα μεγάλο όνομα και τα μεγάλα ονόματα σε μεγάλα πρωτοσέλιδα πωλούν χαρτιά.
Είμαι τόσο χαρούμενος που ένιωσα αναγκασμένος να παρακολουθήσω αυτό το θέμα. Οι παρουσιαστές (ο μηχανικός ασφάλειας Android Jon Larimer και ο μηχανικός της ασφάλειας Android και ο μηχανικός ασφαλείας Kenny Root) έκαναν μια υπέροχη δουλειά. Ήταν σίγουρα ο προσανατολισμός για τους προγραμματιστές, αλλά με τέτοιο τρόπο ώστε ακόμη και οι αρχάριοι (ή οι σκουριασμένοι παλιοί) να καταλάβουν. Το νόημα όλων ήταν συνήθως το Google και συνήθως ανοιχτό - τα εργαλεία και οι μέθοδοι για την παροχή μιας πολύ ασφαλούς εφαρμογής Android είναι εκεί, οι προγραμματιστές πρέπει να τις χρησιμοποιούν σωστά. Το μοντέλο ανοιχτής αγοράς του Android σημαίνει ότι δεν υπάρχει κανένας που να ελέγχει κάθε εφαρμογή πριν να μεταβεί στο Google Play και με την εύκολη περιστροφή που μπορεί να βρει το δρόμο στη συσκευή σας. (Ας ελπίσουμε ότι με τις γνώσεις σας.) Εναπόκειται στους προγραμματιστές να χρησιμοποιούν τα εργαλεία για να κάνουν ασφαλή, ασφαλή και χρήσιμη εφαρμογή. Μπορεί να ακούγεται όπως η Google περνάει το buck στην ασφάλεια εδώ, αλλά πρέπει να θυμόμαστε ότι η εναλλακτική λύση είναι ένας κλειδωμένος κήπος εταιρικού κακού μοντέλου όπως η Apple, όπου ελέγχουν όλα όσα μπαίνουν μέσα ή έξω από ένα τηλέφωνο που πληρώσατε. Προτιμώ το ανοιχτό μοντέλο, και φαντάζομαι ότι οι περισσότεροι από εσάς που διαβάζετε θα συμφωνήσουν.
Τα βασικά, όπως το sandbox του Android, καλύφθηκαν, καθώς και κάποια σκέψη έξω από το κουτί, όπως ο κίνδυνος των δοχείων Web και η κρυπτογράφηση από το σπίτι. Είδαμε παραδείγματα σχετικά με τον τρόπο χρήσης των σωστών δικαιωμάτων εφαρμογής (και χρήση μόνο των σωστών δικαιωμάτων), την ασφάλεια λογαριασμού προγραμματιστή για να διατηρήσετε το καλό σας όνομα ασφαλές και ανούσιο στο Google Play και καλύφθηκε ακόμη και ο ανασφαλής χαρακτήρας της σύνδεσης στο διαδίκτυο. Ο Larimer και ο Root έκαναν μεγάλη δουλειά λέγοντας στους παρευρισκόμενους (το δωμάτιο ήταν τόσο γεμάτο που έπρεπε να γυρίσουν τους λαούς μακριά για να συναντήσουν κώδικα πυρασφάλειας) για τους κινδύνους που υπάρχουν και τα εργαλεία για την καταπολέμησή τους. Ήταν το τέλειο παράδειγμα γιατί το Google I / O είναι σημαντικό για όλους μας - οι προγραμματιστές πρέπει να ακούσουν αυτά τα πράγματα. Το μικρότερο από αυτό:
- Οι κινητές συσκευές μας είναι γεμάτες από πολύ σημαντικά (για εμάς) και ιδιωτικά δεδομένα.
- Οι εφαρμογές πρέπει να σχεδιάζονται για την προστασία των δεδομένων.
- Οποιαδήποτε δεδομένα που εκτίθενται στην αίτησή σας πρέπει να διατηρούνται ασφαλή.
- Το Android χρησιμοποιεί την εφαρμογή sandboxing και το μοντέλο ασφάλειας και δικαιωμάτων Linux, οπότε πρέπει να προσέχετε τι άλλες εφαρμογές πρόκειται να ζητήσουν από την εφαρμογή σας.
- Οι άδειες είναι υψίστης σημασίας. Μάθετε τι κάνει ο καθένας και χρησιμοποιήστε μόνο αυτά που πρέπει να κάνετε.
- Οι στόχοι και τα API θα πρέπει να χρησιμοποιούνται αντί των γενικών δικαιωμάτων.
- Το όνομά σας (οι προγραμματιστές) βρίσκεται στο κασσίτερο. Περάστε το χρόνο για να βεβαιωθείτε ότι το προϊόν είναι ασφαλές και ότι οι πληροφορίες χρήστη παραμένουν ιδιωτικές.
Πρόκειται για ένα σχετικά απλό σύνολο οδηγιών, με περίπου ένα εκατομμύριο τρόπους να πάει στραβά. Ευτυχώς, το Google είναι έτοιμο και πρόθυμο να βοηθήσει με τέτοιες συνεδρίες, καθώς και με διάφορες εμπλοκές κώδικα και hangout προγραμματιστών ανά τον κόσμο.
Αυτό που πίστευα αρχικά ότι ήμουν υποχρεωμένος να παρακολουθήσω, όπως ή όχι, αποδείχθηκε ότι ήταν το επίκεντρο ολόκληρης της εκδήλωσης για μένα. Το Google είναι σοβαρό για την ασφάλεια των εφαρμογών και το απόρρητό σας και θέλουν να βοηθήσουν κάθε προγραμματιστή να γράψει εξαιρετικές εφαρμογές που διατηρούν τα δεδομένα των χρηστών ασφαλή και υγιή. Αν δεν είστε κατασκευαστής Android, μπορείτε να αισθανθείτε καλά ότι η Google γνωρίζει ποια είναι τα ζητήματα και κάνει ό, τι μπορεί για να σας κρατήσει ασφαλείς. Αν είστε προγραμματιστής, πρέπει να κάνετε μια συνεδρία. Έχουμε το βίντεο (περίπου μία ώρα) και μια συλλογή από μερικά από τα σημαντικότερα στιγμιότυπα μετά το διάλειμμα.
