Sobald der Zeitplan für die Entwicklersitzungen von Google I / O 2012 bekannt gegeben wurde, wusste ich, dass die Sitzung " Sicherheit und Datenschutz in Android Apps" ein Muss sein würde. Das Internet und seine FUD-Maschine geben Android-Sicherheit eine Menge schlechte Nachrichten, und während ein Teil davon gerechtfertigt ist, ist ein Teil nur sensationell. Android ist ein großer Name und große Namen in großen Schlagzeilen verkaufen Zeitungen.
Ich bin so froh, dass ich gezwungen war, an diesem Event teilzunehmen. Die Moderatoren (Android-Sicherheitsingenieur Jon Larimer und Android-Framework und Sicherheitsingenieur Kenny Root) haben einen wunderbaren Job gemacht. Es war mit Sicherheit entwicklerorientiert, aber so angelegt, dass selbst unerfahrene Programmierer (oder verrostete alte) es verstehen würden. Der Kern des Ganzen war in der Regel Google und in der Regel Open - die Tools und Methoden zur Bereitstellung einer sehr sicheren Android-Anwendung sind vorhanden. Entwickler müssen sie korrekt verwenden. Das Open-Market-Modell von Android bedeutet, dass es niemanden gibt, der jede App überprüft, bevor sie in Google Play verwendet wird. Durch einfaches Seitenladen kann nahezu jeder Code auf Ihrem Gerät gefunden werden. (Hoffentlich mit Ihrem Wissen.) Es liegt an den Entwicklern, die Tools zu verwenden, um eine sichere und nützliche Anwendung zu erstellen. Es hört sich vielleicht so an, als würde Google hier die Sicherheit aufs Spiel setzen, aber wir müssen uns daran erinnern, dass die Alternative ein abgeschlossener Garten bösartiger Unternehmensmodelle wie Apple ist, in dem sie alles kontrollieren, was in ein oder aus einem Telefon geht, für das Sie bezahlt haben. Ich bevorzuge das offene Modell und ich stelle mir vor, dass die meisten von Ihnen dem zustimmen werden.
Die Grundlagen, wie die Sandbox von Android, wurden ebenso behandelt wie einige Aspekte, die außerhalb der Box liegen, wie das Risiko von Webcontainern und hausgemachter Verschlüsselung. Wir haben Beispiele dafür gesehen, wie Sie die richtigen App-Berechtigungen verwenden (und nur die richtigen Berechtigungen verwenden), die Sicherheit Ihres Entwicklerkontos, um Ihren guten Namen in Google Play sicher und unbeschadet zu halten, und sogar die Unsicherheit, online zu sein, wurde behandelt. Larimer und Root haben großartige Arbeit geleistet, um den Teilnehmern (der Raum war so voll, dass sie die Leute abweisen mussten, um den Brandschutzbestimmungen zu entsprechen) über die bestehenden Gefahren und die Werkzeuge zur Bekämpfung dieser Gefahren zu berichten. Es war das perfekte Beispiel dafür, warum Google I / O für uns alle wichtig ist - Entwickler müssen dieses Zeug hören. Das kurze davon:
- Unsere mobilen Geräte sind voll von sehr wichtigen (für uns) und privaten Daten.
- Anwendungen müssen so konzipiert sein, dass sie Daten schützen.
- Sämtliche Daten, die Ihrer Anwendung zur Verfügung gestellt werden, müssen sicher aufbewahrt werden.
- Android verwendet Anwendungs-Sandboxing und das Linux-Sicherheits- und Berechtigungsmodell. Sie müssen also vorsichtig sein, was andere Apps von Ihrer App verlangen.
- Berechtigungen sind von größter Bedeutung. Erfahren Sie, was jeder tut, und verwenden Sie nur die, die Sie benötigen.
- Absichten und APIs sollten anstelle globaler Berechtigungen verwendet werden.
- Ihr Name (der Entwickler) ist in der Dose. Nehmen Sie sich Zeit, um sicherzustellen, dass Ihr Produkt sicher ist und die Benutzerinformationen vertraulich behandelt werden.
Es ist ein relativ einfacher Satz von Richtlinien, mit ungefähr einer Million Möglichkeiten, Fehler zu machen. Glücklicherweise ist Google bereit und bereit, bei Sitzungen wie diesen sowie bei verschiedenen Codestaus und Entwickler-Hangouts auf der ganzen Welt zu helfen.
Was ich anfangs für etwas hielt, an dem ich teilnehmen musste oder nicht, erwies sich für mich als Höhepunkt der gesamten Veranstaltung. Google nimmt die Anwendungssicherheit und den Datenschutz sehr ernst und möchte jedem Entwickler helfen, großartige Apps zu schreiben, mit denen die Benutzerdaten sicher und zuverlässig sind. Wenn Sie kein Android-Entwickler sind, können Sie sich sicher fühlen, dass Google die Probleme kennt und alles tut, um Sie zu schützen. Wenn Sie ein Entwickler sind, müssen Sie eine Sitzung abhalten. Wir haben das Video (ungefähr eine Stunde) und eine Galerie mit einigen Höhepunkten nach der Pause.
