Gdy tylko ogłoszono harmonogram sesji programistów Google I / O 2012, wiedziałem, że sesja dotycząca bezpieczeństwa i prywatności w aplikacjach na Androida będzie obowiązkowa. Internet i jego maszyna FUD dają złą prasę bezpieczeństwu Androida i choć niektóre z nich są uzasadnione, niektóre z nich są po prostu rewelacyjne. Android to wielka nazwa i wielkie nazwiska w wielkich nagłówkach sprzedają papiery.
Tak się cieszę, że czułem się zmuszony do wzięcia w tym udziału. Prezenterzy (inżynier bezpieczeństwa Android Jon Larimer oraz inżynier frameworku i inżynier bezpieczeństwa Kenny Root) wykonali wspaniałą robotę. Z pewnością był zorientowany na programistów, ale ułożony w sposób zrozumiały dla początkujących programistów (lub starych zardzewiałych). Istotą tego wszystkiego był zwykle Google i zwykle otwarty - narzędzia i metody zapewniające bardzo bezpieczną aplikację na Androida są tam, programiści muszą z nich prawidłowo korzystać. Model otwartego rynku Androida oznacza, że nie ma nikogo, kto mógłby przejrzeć każdą aplikację, zanim trafi ona do Google Play, a dzięki łatwemu ładowaniu bocznemu prawie każdy kod może znaleźć się na twoim urządzeniu. (Mam nadzieję, że z twoją wiedzą.) Twórcy aplikacji mogą korzystać z narzędzi, aby stworzyć bezpieczną i przydatną aplikację. Może to zabrzmieć, jakby Google przekazywał tutaj pieniądze za bezpieczeństwo, ale musimy pamiętać, że alternatywą jest zamknięty ogród korporacyjnego złego modelu, takiego jak Apple, w którym kontrolują wszystko, co wchodzi lub wychodzi z telefonu , za który zapłaciłeś. Wolę model otwarty i wyobrażam sobie, że większość z was czytających się zgodzi.
Podstawy, takie jak piaskownica Androida, zostały omówione, a także pewne nieszablonowe myślenie, takie jak ryzyko kontenerów internetowych i domowego szyfrowania. Widzieliśmy przykłady korzystania z prawidłowych uprawnień do aplikacji (i tylko prawidłowych), bezpieczeństwa konta programisty, aby Twoje imię i nazwisko było bezpieczne i nienaruszone w Google Play, a nawet niepewny charakter bycia online został objęty. Larimer i Root wykonali kawał dobrej roboty, mówiąc uczestnikom (sala była tak zatłoczona, że musieli zawrócić ludzi, aby spełnić kodeks przeciwpożarowy) o istniejących zagrożeniach i narzędziach do ich zwalczania. Był to doskonały przykład tego, dlaczego Google I / O jest ważny dla nas wszystkich - programiści muszą to usłyszeć. Krótko mówiąc:
- Nasze urządzenia mobilne są pełne bardzo ważnych (dla nas) i prywatnych danych.
- Aplikacje muszą być zaprojektowane w celu ochrony danych.
- Wszelkie dane narażone na twoją aplikację muszą być bezpieczne.
- Android używa piaskownicy aplikacji oraz modelu bezpieczeństwa i uprawnień Linuksa, więc musisz uważać na to, co inne aplikacje zamierzają dla nich zrobić.
- Uprawnienia są niezwykle ważne. Dowiedz się, co każdy robi, i używaj tylko tych, które musisz.
- Należy używać intencji i interfejsów API zamiast uprawnień globalnych.
- Twoje imię (programistów) jest na puszce. Poświęć czas, aby upewnić się, że Twój produkt jest bezpieczny, a informacje o użytkowniku są prywatne.
Jest to stosunkowo prosty zestaw wytycznych, zawierający około miliona sposobów, aby się nie udać. Na szczęście Google jest gotowy i chętny do pomocy w takich sesjach, a także w różnych kodach i hangoutach dla programistów na całym świecie.
To, co początkowo wydawało mi się, że muszę uczestniczyć, to lubię, czy nie, okazało się dla mnie punktem kulminacyjnym całego wydarzenia. Google poważnie podchodzi do bezpieczeństwa aplikacji i Twojej prywatności i chce pomóc każdemu programistowi w tworzeniu świetnych aplikacji, które zapewniają bezpieczeństwo i bezpieczeństwo danych użytkowników. Jeśli nie jesteś deweloperem Androida, możesz czuć się dobrze, że Google wie, jakie są problemy, i robi wszystko, co w ich mocy, aby zapewnić Ci bezpieczeństwo. Jeśli jesteś programistą, musisz przeprowadzić sesję. Mamy film (około godziny) i galerię najważniejszych wydarzeń po przerwie.
