Как только было объявлено расписание для сессий разработчиков Google I / O 2012, я понял, что сессия « Безопасность и конфиденциальность в приложениях Android» станет обязательной для посещения. Интернет и его машина FUD создают плохую репутацию для безопасности Android, и хотя некоторые из них оправданы, некоторые просто сенсационны. Android - это громкое имя, а громкие имена в громких заголовках продают газеты.
Я так рад, что почувствовал необходимость посетить это. Докладчики (инженер по безопасности Android Джон Лаример, а также инженер по фреймворку и безопасности Android Кенни Рут) проделали замечательную работу. Он был ориентирован на разработчиков, но выложен так, чтобы его могли понять даже начинающие программисты (или старые ржавые). Суть всего этого была, как правило, Google, и, как правило, открытая - инструменты и методы для обеспечения очень безопасного приложения Android есть, разработчики должны использовать их правильно. Модель открытого рынка Android означает, что нет никого, кто просматривал бы каждое приложение, прежде чем оно появилось в Google Play, и благодаря простой загрузке практически любой код может найти свое место на вашем устройстве. (Надеюсь, благодаря вашим знаниям.) Разработчики должны использовать инструменты для создания безопасного, надежного и полезного приложения. Может показаться, что Google здесь берет на себя ответственность за безопасность, но мы должны помнить, что альтернативой является закрытый сад корпоративной злой модели, такой как Apple, где они контролируют все, что входит или выходит из телефона, за который вы заплатили. Я предпочитаю открытую модель, и я думаю, что большинство из вас, читающих, согласятся.
Были рассмотрены основы, такие как песочница Android, а также некоторые нестандартные решения, такие как риск веб-контейнеров и самодельное шифрование. Мы видели примеры того, как использовать правильные разрешения приложений (и использовать только правильные разрешения), безопасность учетной записи разработчика, чтобы сохранить ваше доброе имя в безопасности и незапятнанные в Google Play, и даже небезопасный характер нахождения в Интернете был раскрыт. Лаример и Рут проделали большую работу, рассказав участникам (комната была настолько переполнена, что им пришлось отворачивать людей, чтобы соблюсти правила пожарной безопасности) о существующих опасностях и средствах борьбы с ними. Это был прекрасный пример того, почему Google I / O важен для всех нас - разработчики должны услышать это. Суть этого:
- Наши мобильные устройства полны очень важных (для нас) и личных данных.
- Приложения должны быть разработаны для защиты данных.
- Все данные, представленные вашему приложению, должны быть защищены.
- Android использует изолированную программную среду приложений и модель безопасности и разрешений Linux, поэтому вам следует опасаться того, что другие приложения будут запрашивать ваше приложение для них.
- Разрешения имеют первостепенное значение. Узнайте, что делает каждый, и используйте только те, которые вы должны.
- Intents и API должны использоваться вместо глобальных разрешений.
- Ваше (разработчики) имя на банке. Потратьте время, чтобы убедиться, что ваш продукт защищен, а информация о пользователе хранится в тайне.
Это относительно простой набор руководящих принципов, с примерно миллионами способов ошибиться. К счастью, Google готов и готов помочь с подобными сессиями, а также с различными пробками кода и встречами разработчиков по всему миру.
То, что я изначально хотел посетить, нравится мне это или нет, оказалось главным событием для меня. Google серьезно относится к безопасности приложений и вашей конфиденциальности, и они хотят, чтобы каждый разработчик написал отличные приложения, которые обеспечивают безопасность и надежность данных пользователей. Если вы не являетесь разработчиком Android, вы можете почувствовать, что Google знает, в чем заключаются проблемы, и делает все возможное, чтобы вы были в безопасности. Если вы разработчик, вам нужно сессию. У нас есть видео (около часа) и галерея некоторых моментов после перерыва.