Flutter 移動程序安全性提高的八個建議
正文
這里有一些步驟,我們可以采取以確保我們的 Flutter 應用程序。
Google 在 2020 年透露,自 2018 年發(fā)布以來,已經有超過 200 萬開發(fā)者使用 flutter,使其成為當今市場上最受歡迎的框架之一。最初,flutter 只能作為 Android 和 iOS 的移動應用開發(fā)框架使用,但是現(xiàn)在我們已經發(fā)布了 flutter 桌面和 flutter web,這個框架在 flutter 開發(fā)者中變得更加流行。
我們主要關心的是編寫代碼和添加新特性,因此我們并不總是專注于確保應用程序中的所有內容都是安全和健壯的。這是因為我們專注于編寫代碼和創(chuàng)建新特性,而不是確保一切都是安全和健壯的。
現(xiàn)在,這可能會導致一個問題,當你把你的應用程序部署后,一切都已經完成和測試,你正在把它投入生產,這可能使應用程序易受攻擊,這可能導致用戶數(shù)據(jù)泄露,它可能導致你的應用程序業(yè)務邏輯暴露,甚至可能導致你的數(shù)據(jù),或你的 API 鍵和你的資源被濫用,這反過來可能是非常昂貴的,特別是你正在接觸和使用類似 Firebase 或 AWS。
在本文中,我們可以采取一些步驟來保護我們的 Flutter 應用程序,讓我們看看八個這樣的步驟,您可以采取這些步驟來確保您的下一個 Flutter 應用程序是完全安全和健壯的。
1. Obfuscate code 混淆代碼
因此,為了讓 Flutter 應用程序更加安全,我們首先要考慮的是升級代碼。什么是代碼混淆?
模糊處理的基本定義就是讓代碼更難以被逆向工程閱讀所以你要做的就是你可以在 android 中找到任何 apk 文件你可以把它分解成文件這樣你就可以在你知道解壓文件之后再看代碼因為它是開源的 apk 文件可以是你知道的所有文件都被分解成你可以看到 java 文件代碼寫在里面所以模糊處理的方法就是不刪除代碼它不會對代碼做任何事情它只是改變變量的名字和類的名字以及地點之類的所以人類閱讀起來會更加困難。
這是軟件行業(yè)中的一個非常通用的術語。這樣做的目的是讓你的應用程序的二進制文件對人類來說更難理解。
您可以對 Flutter 應用程序或 Android 應用程序進行反向工程,以便它在應用程序中生成并提供函數(shù)名、類名和字符串等信息。因為它暴露了許多不同的細節(jié),所以也暴露了您的 API 鍵。
如果逆向工程管理不當,或者類和函數(shù)名暴露了業(yè)務邏輯,那么它就提供了一種防范措施。
2. background snapshots 后臺快照
為了繼續(xù)執(zhí)行第二步,操作系統(tǒng)會在應用程序在后臺時獲取一個快照,因此在應用程序在后臺時保存較大的狀態(tài)。
所以當你的應用程序被最小化時你知道滾動進入其他應用程序你所站的最后一個屏幕的快照和最小化版本一起出現(xiàn)所以你可以看到如何保護它們像這樣你可以看到屏幕爆炸如何保護它們假設你有一些卡的細節(jié)在這里然后你最小化你的應用程序然后有人在你最小化的應用程序中滾動然后你可以看到卡的細節(jié)和類似的東西所以你如何保護它所以有兩個簡單的三行代碼你可以放入本地安卓和本地 iOS 來阻止這個。
例如,時鐘應用程序和日歷應用程序都有快照,因此相應地,我們?yōu)樗鼈兌继峁┝丝煺眨赃@是一個很好的特性,但是如果您有任何私有信息,那么這就不是一個理想的特性。
最好的例子就是谷歌支付,所以如果你打開這個應用,開始輸入你的銀行賬戶信息或者轉賬給某人,然后你在后臺打開這個應用,然后你看到屏幕變成了白色,這是隱藏這個應用的標簽的內容。
通過這種方式,如果我們的應用程序中有一些不想在后臺顯示的敏感信息,我們可以繼續(xù)并實現(xiàn)一個特定的插件。
3. Stay up-to-date 更新程序
因此,無論何時啟動一個新的 Flutter 應用程序,記住第三點非常重要。更新的版本應該是您的起點。
讓你的 Flutter SDK、插件和軟件包保持最新是保護你的應用程序最簡單和最好的方法之一。當 Flutter 框架發(fā)現(xiàn)安全漏洞時,Google 會發(fā)布補丁和安全修復程序。
找出任何尚未歸檔到 Google Flutter 存儲庫中的未解決問題,并報告它們。
4. Flushing in-memory cache 刷新內存緩存
如果您正在構建一些非常關鍵和非常安全的應用程序,比如銀行應用程序,那么您應該盡可能頻繁地刷新內存緩存。在任何移動開發(fā)技術中,flutter 都是存儲來自后端或數(shù)據(jù)庫的內容的最安全的方式,這就是為什么它在內存中是最安全的方式。
這是因為它是在運行時生成的,并存儲在一個運行時變量中,當應用程序被關閉時該變量將被清除,因此它不會存儲在任何地方。它被提取到一個運行時并存儲在一個運行時變量中。
數(shù)據(jù)或令牌或類似的東西應該存儲在內存中,在您的應用程序中使用的變量。
或者,如果您想添加一個額外的安全層,您可以使用這個小代碼,您可以看到現(xiàn)在在這里刷新您的內存后一段時間。例如,如果我正在使用一個銀行應用程序,我的應用程序到后臺,我正在使用另一個應用程序。
因為該應用程序在后臺運行了 15 分鐘或 20 分鐘,它可能會受到其他應用程序或腳本讀取您的內存變量。
靜止兩三分鐘后,你就可以清空內存緩存了,這段代碼會告訴你應用何時暫停,你只需要檢查 15 分鐘,然后清空它。
5. local authentication 本地認證
與此相關的下一件事通常是本地身份驗證。當快照實現(xiàn)到位時,通常希望在再次打開快照時讓用戶再次進行本地身份驗證。
本地認證,我指的是生物指標,面部識別,或類似的東西,所以如果你看看 what-app,你可以添加一個指紋鎖,這樣我們就可以為我們的應用做類似的事情。
每當應用程序從后臺返回或第一次打開時,我們都會在本地對用戶進行身份驗證,以確保它們是有效的,因此對于擁有支付信息或知道敏感信息(如社交媒體信息)的用戶來說,這也非常有用。
您無法獲取那些受操作系統(tǒng)限制的簽名,因為這是身份盜竊,而且操作系統(tǒng)也不允許您這樣做。當你檢查指紋時,操作系統(tǒng)只告訴你指紋是真還是假。這是你唯一的收獲。
6. Secure Storage 安全儲存
接下來是安全存儲,因此如果您使用的是共享首選項或 sqlite 數(shù)據(jù)庫,那么您需要的插件名為 sqflite。
因此,共享首選項成為應用程序的一部分,即使在刪除數(shù)據(jù)之后,它也能保持數(shù)據(jù)的持久性。你不應該在你的共享首選項中存儲普通密碼或別針,因為它們可以被其他應用程序通過代碼讀取,也可以被用戶自己清除,所以你不應該在你的共享首選項中存儲直平面密碼或別針。
即使您希望存儲對您和您的共享首選項至關重要的內容,也應該在存儲它之前使用加密和加密。
即使你知道你被利用了,你的共享偏好也不會受到影響,所以你可以保留一些東西,比如主題數(shù)據(jù)或者從后端獲取用戶數(shù)據(jù)的令牌,或者告訴你應用是否是第一次安裝的令牌,或者類似的東西。這是你想要保留的東西,以確保應用程序的持久性。
我們需要確保我們的數(shù)據(jù)是安全和加密的,所以我們可以使用 flutter 安全存儲,這是一個插件,使用安卓系統(tǒng)的密鑰鏈和 AES 加密。因此,我們要確保本地存儲的數(shù)據(jù)也是加密和安全的,這是增加 android 應用程序安全性的另一種方法。 你可以選擇這個插件
7. Restrict network traffic 限制網絡流量
因此,第七點是限制網絡流量,網絡流量控制提供互聯(lián)網連接障礙,無論是自己的服務器或第三方供應商。為了在移動應用程序和服務器之間提供安全連接,信息通常通過傳輸安全層(T.L.S)交換。
最受信任的網絡
為了將網絡流量或連接限制到不安全的端點,可以顯式地將域列入白名單。
- 安卓系統(tǒng):
res/xml/network_security_config.xml
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">yourDomain.com</domain> <trust-anchors> <certificates src="@raw/my_ca"/> </trust-anchors> </domain-config> </network-security-config>
- IOS:
ios/Info.plist
<key>NSAppTransportSecurity</key> <dict> <key>NSAllowsArbitraryLoads</key> <false/> <key>NSExceptionDomains</key> <dict> <key>cocoacasts.com</key> <dict> <key>NSIncludesSubdomains</key> <true/> <key>NSExceptionAllowsInsecureHTTPLoads</key> <true/> </dict> </dict> </dict>
8. jail-breaking protection 越獄保護
最后但同樣重要的是,我們有越獄保護。為了定義“越獄”這個術語,它實際上是一個與 iOS 系統(tǒng)相關的術語。在越獄過程中,你可以根植你的 iOS 設備,這樣你就可以實際訪問,你知道,撤銷,甚至篡改,任何蘋果強加的限制。
對于 Android 來說,當你知道如何改變你的設備時,你實際上進入了開發(fā)者模式,這樣你就可以安裝第三方應用程序或者做各種各樣的改變。盡管有時候這種狀態(tài)是有用的,但它并不總是惡意的,因此無論何時使用設備,它都會處于這種狀態(tài)。
您的應用程序或其數(shù)據(jù)可能會受到一些惡意軟件引入設備的影響。如果你想,你可以檢查這樣的惡意軟件。
在這種情況下,您可以檢測設備的狀態(tài)并采取適當?shù)牟僮?。例如,如果您的應用程序中有路由要限制破解監(jiān) 獄或根設備,則可以限制它們。
這個世界上沒有安全可言。如果我今天創(chuàng)建一個應用程序,它可能是安全的今天,但在兩天,三天,或一年后,它可能不是安全的。
換句話說,我可以創(chuàng)建一個今天安全的應用程序,但明天可能就不安全了,所以不存在 100% 安全的應用程序。
因此,下面是使您的應用程序更加安全和健壯的八個步驟。不可能保證您的應用程序總是萬無一失的,但是添加這八個步驟肯定會增加您的機會,更多關于Flutter 移動程序安全性的資料請關注腳本之家其它相關文章!
相關文章
使用Android studio3.6的java api方式調用opencv
這篇文章主要介紹了Android studio3.6的java api方式調用opencv的代碼詳解,本文通過實例代碼給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下2020-03-03Android仿微信圖片選擇器ImageSelector使用詳解
這篇文章主要為大家詳細介紹了Android仿微信圖片選擇器ImageSelector的使用方法,具有一定的參考價值,感興趣的小伙伴們可以參考一下2017-12-12Android中RecyclerView實現(xiàn)多級折疊列表效果(TreeRecyclerView)
RecyclerView出現(xiàn)已經有一段時間了,相信大家肯定不陌生了,下面這篇文章主要給大家介紹了Android中RecyclerView實現(xiàn)多級折疊列表效果(TreeRecyclerView)的相關資料,文中介紹的非常詳細,需要的朋友可以參考下。2017-05-05