Zodra het schema voor de ontwikkelaarsessies van Google I / O 2012 werd aangekondigd, wist ik dat de sessie Beveiliging en privacy in Android Apps een must-sessie zou worden. Het internet en zijn FUD-machine geven Android-beveiliging veel slechte pers, en hoewel een deel ervan gerechtvaardigd is, is een deel ervan sensationeel. Android is een grote naam en grote namen in grote krantenkoppen verkopen kranten.
Ik ben zo blij dat ik me gedwongen voelde om deze bij te wonen. De presentatoren (Android-beveiligingsingenieur Jon Larimer en Android-framework en beveiligingsingenieur Kenny Root) hebben het fantastisch gedaan. Het was zeker op de ontwikkelaar gericht, maar zo opgezet dat zelfs beginnende programmeurs (of roestige oude) het zouden begrijpen. De kern van dit alles was typisch Google en typisch open - de tools en methoden om een zeer veilige Android-applicatie te bieden zijn er, ontwikkelaars moeten ze correct gebruiken. Het open-marktmodel van Android betekent dat er niemand is om elke app te beoordelen voordat deze in Google Play gaat, en met eenvoudig sideloading kan vrijwel elke code zijn weg vinden op uw apparaat. (Hopelijk met uw medeweten.) Het is aan ontwikkelaars om de tools te gebruiken om een veilige, beveiligde en nuttige toepassing te maken. Het klinkt misschien alsof Google hier op het gebied van beveiliging voor staat, maar we moeten niet vergeten dat het alternatief een afgesloten tuin is van een kwaadaardig bedrijfsmodel zoals Apple, waar ze alles regelen wat in of uit een telefoon gaat waarvoor je hebt betaald. Ik geef de voorkeur aan het open model, en ik stel me voor dat de meesten van jullie zullen lezen.
De basisprincipes, zoals de sandbox van Android, kwamen aan bod, evenals een aantal kant-en-klare ideeën, zoals het risico van webcontainers en zelfgemaakte codering. We hebben voorbeelden gezien van het gebruik van de juiste app-machtigingen (en alleen de juiste machtigingen), de beveiliging van ontwikkelaarsaccounts om uw goede naam veilig en onaangetast te houden in Google Play, en zelfs het onzekere karakter van online zijn werd behandeld. Larimer en Root hebben de aanwezigen geweldig gedaan (de zaal was zo druk dat ze mensen moesten wegsturen om aan de brandveiligheidscode te voldoen) over de gevaren die er zijn en de hulpmiddelen om ze te bestrijden. Het was het perfecte voorbeeld van waarom Google I / O belangrijk is voor ons allemaal - ontwikkelaars moeten dit soort dingen horen. Kort gezegd:
- Onze mobiele apparaten zitten vol met zeer belangrijke (voor ons) en privégegevens.
- Toepassingen moeten zijn ontworpen om gegevens te beschermen.
- Alle gegevens die aan uw toepassing worden blootgesteld, moeten veilig worden bewaard.
- Android maakt gebruik van applicatiesandboxing en het Linux-beveiligings- en machtigingsmodel, dus je moet op je hoede zijn voor wat andere apps je app gaan vragen.
- Toestemmingen zijn van het grootste belang. Leer wat iedereen doet, en gebruik alleen degene die je moet.
- Intents en API's moeten worden gebruikt in plaats van algemene machtigingen.
- Uw (ontwikkelaars) naam staat op het blik. Besteed de tijd om ervoor te zorgen dat uw product veilig is en gebruikersinformatie privé blijft.
Het is een relatief eenvoudige set richtlijnen, met ongeveer een miljoen manieren om fout te gaan. Gelukkig is Google klaar en bereid om te helpen met sessies zoals deze, evenals verschillende code-jams en ontwikkelaarshangouts over de hele wereld.
Wat aanvankelijk iets was waarvan ik dacht dat ik het moest bijwonen, leuk vinden of niet, bleek voor mij het hoogtepunt van het hele evenement. Google neemt de beveiliging van applicaties en uw privacy serieus en ze willen elke ontwikkelaar helpen geweldige apps te schrijven die gebruikersgegevens veilig en gezond houden. Als je geen Android-ontwikkelaar bent, kun je je goed voelen dat Google weet wat de problemen zijn en alles doet om je te beschermen. Als u een ontwikkelaar bent, moet u een sessie volgen. We hebben de video (ongeveer een uur) en een galerij met enkele hoogtepunten na de pauze.
