Защитить исходный код от декомпиляции

Рейтинг: 1Ответов: 1Опубликовано: 28.12.2014

Здравствуйте.

У меня клиент-серверное приложение.
В клиенте и в сервере написаны пароли для доступа к апи сторонних сайтов.

Собственное вопрос, как защититься от декомпилирования apk файлов, от проникновения через ssh на сервер нахождения этих паролей и доступа к ресурсам этого сайта без моего ведома?

Боюсь, что злоумышленник сможет узнать пароли и адреса серверов, а это будет тяжелыми последствиями для меня. Помогите, пожалуйста, может, можно закодировать исходные коды и пароли?

шифрование клиент-сервер
Источник: Stack Overflow на русском

Ответы

▲ 3Принят

Если вы даёте код, содержащий пароли, клиенту, никак. Не хотите, чтобы информацию можно было «выковырять» из вашего приложения — не давайте эту информацию пользователю вовсе!

Что же делать? Попробуйте поменять API таким образом, чтобы пароли хранились лишь на сервере.

Например: Пусть ваше клиентское приложение придумывает токен доступа, отсылает его на сервер. Сервер просит сторонний сервис дать доступ для данного токена, используя свой пароль. Если сторонний сервис так не умеет, пусть весь доступ ведётся лишь через ваш сервер.

По поводу безопасности хранения информации на вашем сервере — не давайте ssh-доступ клиентам. Если очень надо — пусть ssh-логин имеет ограниченные права и не получает доступа к важной информации. Если вы боитесь дыр в безопасности вашего сервера, храните пароли на физически отдельном сервере, куда клиенту нет доступа.