Чем, как ... обеспечивается безопасность в приложениях Android, если APK всегда легко вскрываются?

Question

[peacemakerv]

Самый общий вопрос структурный - за счет чего обеспечивается безопасность клиент-серверных систем с Android-клиентами, с логином\паролем..., если APK файл приложения несложно вскрываются и логины\пароли могут быть извлечены ?
По протоколу HTTP вообще невозможно сделать безопасный обмен ? А если с HTTPS ? Но логин\пароль получается всегда может быть "угнан" из приложения?

Answer 1

[Сергей Горностаев]

Обеспечивается тем, что умные люди не хранят в коде пароли.

Comments

[peacemakerv]

Это верно, но для удобства пользователей часто логин и пароль сохраняются локально для авто-соединения с сервером.

[Сергей Горностаев]

peacemakerv, в нормальных программах пароль в открытом виде нигде никогда не хранится. Могут хранится только хэши, открытые ключи и временные токены.

[peacemakerv]

Сергей Горностаев, а если системные SMTP, FTP... сервера, которые используются в работе приложений ?

[Сергей Горностаев]

peacemakerv, то либо доступ к ним должен осуществляться с учётными данными пользователя программы, либо система авторизации должна использовать посредника.

[peacemakerv]

Сергей Горностаев, посредник в каком виде ? с какой авторизацией ?

[xmoonlight]

Сергей Горностаев, peacemakerv, просто пока искал - жесть...

Answer 2

[xmoonlight]

1. Crypto
2. И вот тут KeyStore.