Zodra het schema voor de ontwikkelaarssessies van Google I/O 2012 bekend was gemaakt, wist ik het Beveiliging en privacy in Android-apps sessie zou een must-bijwonen sessie worden. Het internet en zijn FUD-machine bezorgen Android-beveiliging veel slechte pers, en hoewel een deel ervan gerechtvaardigd is, is een deel ervan gewoon sensatiezucht. Android is een grote naam en grote namen in grote krantenkoppen verkopen kranten.
Ik ben zo blij dat ik me gedwongen voelde om deze bij te wonen. De presentatoren (Android security engineer Jon Larimer, en Android-framework en beveiligingsingenieur Kenny Wortel) heeft geweldig werk geleverd. Het was zeker ontwikkelaargericht, maar zo ingedeeld dat zelfs beginnende codeerders (of roestige oude) het zouden begrijpen. De kern van dit alles was typisch Google, en typisch open -- de tools en methoden om een zeer veilige Android-applicatie te bieden zijn er, ontwikkelaars moeten ze correct gebruiken. Het open-market-model van Android betekent dat er niemand is om elke app te beoordelen voordat deze op Google Play wordt geplaatst, en met eenvoudige sideloading kan vrijwel elke code zijn weg vinden naar uw apparaat. (Hopelijk met uw medeweten.) Het is aan ontwikkelaars om de tools te gebruiken om een veilige, beveiligde en bruikbare applicatie te maken. Het klinkt misschien alsof Google hier de verantwoordelijkheid voor beveiliging afschuift, maar we moeten niet vergeten dat het alternatief een
De basisprincipes, zoals de sandbox van Android, kwamen aan bod, evenals wat out-of-the-box denken, zoals het risico van webcontainers en zelfgemaakte codering. We hebben voorbeelden gezien van het gebruik van de juiste app-machtigingen (en gebruik alleen de juiste machtigingen), ontwikkelaarsaccount beveiliging om uw goede naam veilig en onaangetast te houden in Google Play, en zelfs de onveilige aard van online zijn was bedekt. Larimer en Root hebben geweldig werk geleverd door de aanwezigen (de zaal was zo vol dat ze mensen moesten wegsturen om aan de brandveiligheidsvoorschriften te voldoen) te vertellen over de bestaande gevaren en de middelen om ze te bestrijden. Het was het perfecte voorbeeld van waarom Google I/O belangrijk is voor ons allemaal -- ontwikkelaars moeten dit horen. Het kort:
- Onze mobiele apparaten zitten vol met zeer belangrijke (voor ons) en privégegevens.
- Applicaties moeten ontworpen zijn om gegevens te beschermen.
- Alle gegevens die aan uw toepassing worden blootgesteld, moeten veilig worden bewaard.
- Android maakt gebruik van applicatie-sandboxing en het Linux-beveiligings- en machtigingsmodel, dus je moet op je hoede zijn voor wat ander apps gaan vragen jouw app voor hen te doen.
- Permissies zijn van het grootste belang. Leer wat iedereen doet en gebruik alleen degene die u moet gebruiken.
- Intenties en API's moeten worden gebruikt in plaats van algemene machtigingen.
- Uw (de ontwikkelaars) naam staat op het blik. Besteed de tijd om ervoor te zorgen dat uw product veilig is en dat gebruikersgegevens privé worden gehouden.
Het is een relatief eenvoudige set richtlijnen, met ongeveer een miljoen manieren om fout te gaan. Gelukkig is Google klaar en bereid om te helpen met sessies als deze, evenals verschillende code-jams en hangouts voor ontwikkelaars over de hele wereld.
Wat aanvankelijk iets was waarvan ik dacht dat ik het moest bijwonen, of ik het leuk vond of niet, bleek voor mij het hoogtepunt van het hele evenement te zijn. Google neemt applicatiebeveiliging en uw privacy serieus, en ze willen elke ontwikkelaar helpen geweldige apps te schrijven die gebruikersgegevens veilig en gezond houden. Als u geen Android-ontwikkelaar bent, kunt u er gerust op zijn dat Google weet wat de problemen zijn en er alles aan doet om u veilig te houden. Als u een ontwikkelaar bent, moet u deze sessie bekijken. We hebben de video (ongeveer een uur) en een galerij met enkele hoogtepunten na de pauze.
Afbeelding 1 van 13
Heb je naar de Android Central Podcast van deze week geluisterd?
Elke week brengt de Android Central Podcast u het laatste technische nieuws, analyses en hot takes, met bekende co-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneer op Spotify: Audio
- Abonneer je op iTunes: Audio