È sicuro conservare un token oAuth codificato su un'app realizzata esclusivamente per uso personale?

2

Ho creato un'app per Android che verrà utilizzata solo da me. Non è distribuito nel negozio o altro: l'ho scaricato sul mio telefono con HockeyApp.

Tuttavia, questa app ha un token oAuth codificato come stringa, che può accedere ai miei repository privati su Github. È un rischio per la sicurezza? Non voglio assolutamente seguire l'intero processo di implementazione di un flusso oAuth per generare un token tramite una sorta di accesso, quindi mi piacerebbe lasciarlo semplicemente codificato.

Non sono esattamente il CEO di Google, quindi è incredibilmente improbabile che qualcuno faccia un tentativo malevolo di rubare cose del genere dal mio telefono, anche se suppongo che esista la possibilità.

    
posta Bassinator 27.06.2018 - 00:22
fonte

1 risposta

2

"Sicuro" è un termine relativo e non molto utile in un contesto di sicurezza. Che sia o meno "sicuro" dipende da ciò che protegge e da come lo si utilizza. Se l'app controlla l'arsenale nucleare statunitense e spesso lasci il telefono sbloccato sul bancone dei bagni pubblici mentre visiti l'Iran, direi che è terribilmente pericoloso. Se solo accedi al tuo GitHub personale (che non contiene segreti di stato / commercio o codici di lancio nucleari), allora direi che è ragionevole.

Le credenziali di codifica rigida in un'app che non condividi sono tanto sicure quanto lo sono il tuo telefono o il tuo personal computer. Dal punto di vista della sicurezza del telefono, qualcuno che ha accesso completo al tuo telefono sarà probabilmente in grado di recuperare la chiave dalla memoria del telefono, sia che provenga da un flusso o codice sorgente oAuth.

Sul lato positivo, il fatto che sia codificato in modo rigido significa che nessuno può attaccare il flusso di oAuth - un rischio di sicurezza in meno. Tuttavia è memorizzato in testo normale sul tuo laptop (presumibilmente nel codice sorgente) - un ulteriore rischio per la sicurezza. Ancora una volta, che è "migliore" dipende dalle circostanze e dalle minacce attese, ma per una persona tipica che non viene direttamente presa di mira da hacker esperti, probabilmente non fa molta differenza.

    
risposta data 27.06.2018 - 01:33
fonte

Leggi altre domande sui tag